Preview document (🔗 origineel)

---

NOTA VAN TOELICHTING

ALGEMEEN DEEL

1. Inleiding

Dit besluit, het Besluit weerbaarheid kritieke entiteiten (hierna: Bwke), strekt ter uitwerking van de Wet weerbaarheid kritieke entiteiten (hierna: Wwke). De Wwke strekt op haar beurt tot de uitvoering van de Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad.¹ Deze richtlijn wordt ook wel aangeduid als de CER-richtlijn.

2. De belangrijkste onderdelen van het Bwke

2.1 Inleiding

In dit hoofdstuk wordt ingegaan op de belangrijkste onderdelen van het Bwke. Voor een nadere en uitgebreide toelichting op alle artikelen uit het Bwke wordt verwezen naar de artikelsgewijze toelichting.

2.2 Risicobeoordeling

Voor kritieke entiteiten geldt op grond van artikel 14, eerste lid, Wwke de verplichting om een risicobeoordeling uit te voeren op basis van de relevante informatie uit de risicobeoordeling van de bevoegde autoriteit (vakminister).² In artikel 3 Bwke worden nadere regels gesteld over het uitvoeren van de risicobeoordeling. Deze regels zien op het hebben van vastgesteld beleid over het uitvoeren van de risicobeoordeling, waar rekening mee te houden bij die uitvoering, de schriftelijke vastlegging van de uitgevoerde risicobeoordeling en het evalueren van dat beleid.

Een risicobeoordeling bestaat uit het proces om potentiële relevante dreigingen, kwetsbaarheden en gevaren die tot een incident kunnen leiden in kaart te brengen en te analyseren, en de impact die een incident zou kunnen hebben op de verlening van een essentiële dienst in te schatten. Hierdoor wordt inzichtelijk wat het huidige weerbaarheidsniveau van de kritieke entiteit is en welke aanvullende maatregelen nodig zijn. Kritieke entiteiten moeten beleid hierover vooraf schriftelijk vastleggen en dat beleid ook daadwerkelijk toepassen. Het doel hiervan is dat de kaders, methodieken en procedures voor het uitvoeren van de risicobeoordeling vooraf duidelijk en inzichtelijk zijn, zodat bijvoorbeeld tijdens de uitvoering van de risicobeoordeling vooral op de inhoud kan worden geconcentreerd.

Kritieke entiteiten moeten monitoren op de uitvoering en effectiviteit van dat beleid en het beleid ten minste elke vier jaar, of eerder als daar aanleiding toe is, evalueren. Aanleiding om eerder te evalueren kan bijvoorbeeld een verandering in het dreigingslandschap, nieuwe ontwikkelingen of voortschrijdend inzicht van de kritieke entiteit zijn. Door het beleid regelmatig te monitoren en te evalueren kunnen kritieke entiteiten nieuwe inzichten en bijvoorbeeld nieuwe methodieken meenemen in hun uitvoeringsbeleid.

2.3 Zorgplicht

Voor kritieke entiteiten geldt op grond van artikel 15, eerste lid, Wwke de verplichting om passende en evenredige technische, beveiligings- en organisatorische maatregelen te nemen om voor hun weerbaarheid te zorgen.³ Deze verplichting wordt de zorgplicht genoemd.

Kritieke entiteiten moeten in het kader van de zorgplicht ingevolge artikel 15, eerste lid, Wwke in ieder geval maatregelen nemen die nodig zijn om:

a. te voorkomen dat zich incidenten voordoen;

b. te zorgen voor adequate fysieke bescherming van hun gebouwen en de kritieke infrastructuur;

c. de gevolgen van incidenten te bestrijden, te beperken en ertegen bestand te zijn;

d. te herstellen van incidenten;

e. te zorgen voor adequaat beheer van personeelsbeveiliging; en

f. het relevante personeel bewust te maken van voornoemde maatregelen.

De maatregelen die kritieke entiteiten in het kader van de zorgplicht moeten nemen, zijn nader uitgewerkt in de artikelen 5 tot en met 14 Bwke. Deze artikelen zijn van toepassing op alle kritieke entiteiten uit alle sectoren waar de Wwke op van toepassing is, uitgezonderd van de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur (zie artikel 23 Wwke), en voor zover de kritieke entiteit niet op grond van artikel 24 Wwke is ontheven van de zorgplicht. Doordat de hiervoor genoemde artikelen van toepassing zijn op de meeste kritieke entiteiten, wordt daarmee een algemeen minimumniveau gecreëerd.

In diverse artikelen in het Bwke, zoals de artikelen 5 en 6, is bepaald dat kritieke entiteiten beleid over de in die artikelen genoemde onderwerpen schriftelijk moeten hebben vastgesteld en aantoonbaar moeten toepassen. Het doel van deze voorschriften is dat kritieke entiteiten weloverwogen beleid formuleren op de genoemde onderwerpen, dat beleid formeel vaststellen en dat beleid daadwerkelijk ten uitvoer brengen. Het doel is ook dat effectief toezicht mogelijk is op de uitvoering van de zorgplicht door kritieke entiteiten.

Artikel 15 Bwke biedt de mogelijkheid om de zorgplicht nader sectoraal in te vullen middels ministeriële regelingen van de vakministers voor de sectoren waar zij verantwoordelijk voor zijn. Dit biedt de mogelijkheid om ten aanzien van de zorgplicht onderscheid te maken tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten, bijvoorbeeld vanwege de specifieke aard van een bepaalde sector, subsector, categorie van entiteiten of entiteit.

2.4 Meldplicht

Voor kritieke entiteiten geldt op grond van artikel 17, eerste lid, Wwke de verplichting om incidenten die de verlening van hun essentiële dienst aanzienlijk verstoort of kan verstoren, te melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie).⁴ Deze verplichting wordt de meldplicht genoemd.

In dit besluit is nader uitgewerkt uit welke gegevens een melding moet bestaan (artikel 17 Bwke) en op welke wijze een melding moet worden gedaan (artikel 18 Bwke). Daarnaast is in artikel 16, eerste lid, Bwke een delegatiegrondslag opgenomen voor de criteria, ook wel drempelwaarden, op basis waarvan wordt bepaald of een verstoring als gevolg van een incident aanzienlijk is en daarmee er dus sprake is van een incident dat gemeld moet worden.

2.5 Na overleg met of in overeenstemming met de Minister van Justitie en Veiligheid

Waar er afstemming nodig is tussen de centraal verantwoordelijke minister, te weten de Minister van Justitie en Veiligheid, en de vakminister heeft dit er toe geleid dat in het Bwke per artikel is bepaald of dit geschiedt “na overleg met” of “in overeenstemming met” de Minister van Justitie en Veiligheid. Het verschil tussen “na overleg met” en “in overeenstemming met” is dat bij “na overleg met” eventueel verschil van inzicht kan worden opgelost via de gangbare afstemmings- en overlegstructuren, maar de vakminister uiteindelijk eigenstandig de eindbeslissing neemt. Bij “in overeenstemming met” dient de Minister van Justitie en Veiligheid bij eventueel uiteenlopende inzichten alsnog mede te beslissen. Deze variant is gekozen bij de bepalingen waarbij de handelingen van de vakminister het integrale stelsel raken, en dus van invloed zijn op de stelselverantwoordelijkheid van de Minister van Justitie en Veiligheid.

3. Gevolgen

3.1 Gevolgen voor bedrijven

3.1.1 Inleiding

Het Ministerie van Justitie en Veiligheid heeft door een onafhankelijk onderzoekbureau een regeldrukonderzoek laten uitvoeren. Het onderzoek naar de regeldruk van de Wwke en het Bwke is gecombineerd met het onderzoek naar de regeldruk van de Cyberbeveiligingswet (hierna: Cbw) en het Cyberbeveiligingsbesluit (hierna: Cbb). Aan de hand van interviews met het bedrijfsleven en een panelbijeenkomst met het mkb is een inschatting gemaakt van de regeldruk als gevolg van de Wwke en het Bwke (en de regeldruk als gevolg van de Cbw en het Cbb). Hieronder worden de belangrijkste uitkomsten daarvan ten aanzien van de Wwke en het Bwke beschreven.

3.1.2 Werkwijze regeldrukonderzoek

Bij het in kaart brengen van de regeldrukeffecten is gebruik gemaakt van de landelijke methodiek die is vastgelegd in de meest recente versie van het Handboek Meting Regeldrukkosten 2023, versie 2.1 d.d. 29 november 2023. De hierin beschreven methodiek wordt ook voorgeschreven door het Adviescollege Toetsing Regeldruk (hierna: ATR).

Er zijn interviews gehouden met verschillende bedrijven die naar verwachting regeldrukgevolgen zullen ervaren als gevolg van de Wwke en het Bwke. Tijdens de selectie van deelnemende bedrijven is rekening gehouden met de diversiteit aan bedrijven die tot de doelgroep behoren van de Cbw en Wwke. Zo is gepoogd een gevarieerde selectie samen te stellen van bedrijven uit diverse sectoren, van verschillende omvang en vallend binnen uiteenlopende wetgevend kaders. Er is met name gekeken naar eventuele kosten die voortkomen uit de verplichting tot het uitvoeren van een risicobeoordeling en de zorgplicht.

In het onderzoek is op twee vlakken onderscheid gemaakt, namelijk tussen de eenmalige en de structurele regeldrukeffecten en tussen bedrijfseigen en bedrijfsvreemde kosten. Indien bedrijfseigen kosten gekwantificeerd kunnen worden, tellen zij niet mee in de regeldrukberekening. Bedrijfsvreemde kosten zijn alle overige kosten die bedrijven niet uit eigen beweging zouden maken, voortkomend uit verplichtingen uit wet- en regelgeving. Bedrijfsvreemde regeldrukkosten worden meegenomen in de regeldrukberekening.

In het regeldrukonderzoek is voor de berekening, naast de uitkomsten van de interviews, gebruik gemaakt van standaardaantallen. Deze aantallen omvatten onder andere het totaal aantal bedrijven of ondernemingen dat naar verwachting onder de reikwijdte van de Wwke zal komen te vallen. Het toepassingsbereik van de Wwke wordt geschat op 500 ondernemingen.

Verder worden structurele tijdbestedingen geregeld uitgedrukt in fte’s in plaats van individuele uren. Omdat het aantal werkzame uren van een voltijds dienstverband significant kan verschillen tussen werkgevers en tussen cao’s, wordt gerekend met een standaardaantal uren. Gekozen is om het aantal van 1.720 werkzame uren op jaarbasis te hanteren. Dit aantal berust op een schatting van het Ministerie van Sociale Zaken en Werkgelegenheid.

Ook voor de uurtarieven van medewerkers van de bedrijven die activiteiten moeten verrichten om te voldoen aan wettelijke verplichtingen worden standaardaantallen gebruikt. Dit regeldrukonderzoek volgt hiervoor de methode uit het Handboek Meting Regeldrukkosten, versie 2.1 d.d. 29 november 2023. Onderdeel van deze methode is het aanhouden van standaard interne uurtarieven per type functie. Per activiteit die verricht wordt om te voldoen aan een verplichting is bepaald welk type functie de medewerkers die deze activiteit uitvoeren naar alle waarschijnlijkheid zullen hebben. Dit is afgestemd met de respondenten. Op basis hiervan is gerekend met het bijbehorende uurtarief.

3.1.3 Bevindingen regeldrukonderzoek

De verplichtingen die bij of krachtens de Wwke van toepassing zijn op kritieke entiteiten sluiten op veel punten aan bij de bestaande beleidskaders van de Aanpak vitaal. Met name het zogeheten vitaalinstrumentarium, bestaande uit de vitaalbeoordeling, de weerbaarheidsanalyse en het actieprogramma, sluit aan bij de hiervoor bedoelde verplichtingen, specifiek op het gebied van het in kaart brengen en beoordelen van risico’s. Vanwege de bijzondere relevantie van de dreigingen genoemd in de Wwke voor de sectoren waarin de geïnterviewde bedrijven actief zijn, hebben veel van hen al staand beleid op het gebied van de fysieke weerbaarheid van de organisatie.

Het Bwke werkt de verplichting tot het uitvoeren van een risicobeoordeling (artikel 14 Wwke) en de zorgplicht (artikel 15 Wwke) nader uit. Bedrijven verwachten voornamelijk regeldrukgevolgen te ervaren door de verplichting uit het Bwke om het beleid omtrent de risicobeoordelingen en de zorgplichtmaatregelen vast te leggen en te evalueren. Wel hebben de meeste bedrijven aangegeven dat zij hun gap assessments nog niet voltooid te hebben en nog onvoldoende inzicht te hebben in de implicaties van de Wwke op detailniveau.

Een ander terugkerend onderwerp in de interviews was de nadruk die de Wwke, de Cbw en de onderliggende regelgeving leggen op administratieverplichtingen. Veel bedrijven nemen al concrete maatregelen die worden voorgeschreven in het kader van de zorgplicht van de Cbw en de Wwke. Een significant aandeel van de regeldrukkosten verwachten bedrijven te ervaren door de administratieve lasten die worden voorgeschreven. Het vastleggen van beleid wordt evenwel noodzakelijk geacht om enerzijds te zorgen dat de entiteiten welbedacht en structureel hun maatregelen analyseren op het belang en noodzakelijkheid voor de verlening van de essentiële dienst en anderzijds dat entiteiten kunnen aantonen hoe zij tot de maatregelen zijn gekomen, zodat de toezichthoudende instantie daarin duidelijk inzicht krijgt.

De bevindingen met betrekking tot de artikelen 3, 5 tot en met 12 en 14 Bwke worden hieronder toegelicht. De uiteenzetting van de verwachte regeldrukgevolgen wordt hierna uitgesplitst in eenmalige en structurele regeldrukkosten.

Artikel 3 Bwke (risicobeoordeling door de kritieke entiteit)

Kritieke entiteiten moeten op grond van artikel 14 Wwke een risicobeoordeling uitvoeren. Periodieke risicobeoordelingen vormen al staand beleid voor alle geïnterviewde bedrijven, waarbij voor een deel van hen deze risicobeoordeling inhoudelijk al overeen komt met de risicobeoordeling die zij op grond van de Wwke moeten uitvoeren nadat zij zijn aangewezen als kritieke entiteit, waarbij enkel de frequentie in overeenstemming moet worden gebracht met de Wwke en het Bwke. Voor andere bedrijven geldt dat zij ook de focus en de diepgang van hun risicobeoordeling zullen moeten aanpassen. De all hazard-benadering van de risicobeoordeling uit de Wwke en het Bwke betekent dat sommige bedrijven risico’s waar zij tot dusverre geen inschatting van maakten, nu ook in de risicobeoordeling moeten opnemen.

Behalve de inhoudelijke vereisten aan de risicobeoordeling verwachten de meeste bedrijven ook meer tijd kwijt te zijn aan de administratieve verplichtingen die uit de Wwke voortkomen, bijvoorbeeld om bepaalde keuzes inzichtelijk te kunnen maken voor de toezichthoudende instantie. Waar bedrijven de risicobeoordeling vaak al uitvoeren, worden de resultaten ervan niet systematisch vastgelegd of gerapporteerd. Ook geven bedrijven aan verscheidene afzonderlijke risicobeoordelingen van verschillende afdelingen te zullen moeten bundelen tot één integrale risicobeoordeling voor de gehele organisatie.

Door vertegenwoordigers van het mkb werd een voorkeur voor een risk based approach naar voren gebracht tijdens het mkb-panel over het Bwke. Dit is in lijn met het ontwerp van de regelgeving, waarbij maatregelen gebaseerd zijn op risico’s die naar voren komen uit de risicobeoordeling van de kritieke entiteit.

De artikelen 5 tot en met 12 en 14 Bwke (zorgplichtmaatregelen)

Alle geïnterviewden geven aan dat zij in grote lijnen reeds voldoen aan de verplichtingen die zijn opgenomen in de artikelen 5 tot en met 12 en 14 Bwke. De beweegredenen hiervoor zijn niet enkel ingegeven door bestaande (sectorale) wetgeving, maar ook gezien de huidige geopolitieke dreigingen. Ook de inspanningen om de weerbaarheid tegen natuurrampen te vergroten zijn maar gedeeltelijk te verklaren als de naleving van de verplichtingen die uit bestaande (sectorale) wetgeving voortkomen. De bestaande sectorale wetgeving speelt desondanks een belangrijke rol.

In het onderzoek kwam naar voren dat de geïnterviewden nog onvoldoende inzicht te hebben in de verschillen op detailniveau tussen de huidige werkwijze enerzijds en de verplichtingen van de artikelen 5 tot en met 12 en 14 Bwke anderzijds. Wel kunnen additionele eenmalige regeldrukgevolgen aangewezen worden als gevolg van de specifieke verplichtingen uit het Bwke. Het Bwke specificeert dat bedrijven hun beleid ten aanzien van enkele te nemen maatregelen onder de zorgplicht moeten vaststellen, aantoonbaar toepassen en evalueren, waarbij dat beleid en de uitkomsten van de evaluaties schriftelijk moeten worden vastgelegd.

In de mkb-panelbijeenkomst kwam de wens naar voren dat de parallelle verplichtingen van de zorgplicht van het Cbb en het Bwke waar mogelijk worden samengevoegd, zodat niet voor overkoepelende aspecten hiervan apart beleid moet worden opgesteld. Om deze administratieve last te verminderen voor bedrijven, wordt de mogelijkheid geboden aan bedrijven om – waar mogelijk – aan de verplichtingen voor het uitvoeren van een risicobeoordeling op grond van de Wwke en de Cbw te voldoen in één en dezelfde risicobeoordeling.

Eenmalige regeldrukgevolgen

Bedrijven verwachten voor het uitvoeren van de risicobeoordeling (artikel 14 Wwke) te kunnen volstaan met het eenmalig inregelen van een nieuw proces. Zij verwachten ook hun rechtstreekse leveranciers en rechtstreekse dienstverleners hierbij te moeten betrekken, wat kan leiden tot extra tijdbesteding. In artikel 7 Bwke is nader gespecificeerd dat het alleen die leveranciers en dienstverleners betreft voor zover deze gerelateerd zijn aan de essentiële dienst.

De eenmalige verwachte kosten voor de uitvoering van de risicobeoordeling zullen volgens bedrijven het gevolg zijn van het inregelen van een nieuwe werkwijze en investeringen in externe expertise. Zij verwachten ook hun rechtstreekse leveranciers en rechtstreekse dienstverleners hierbij te moeten betrekken, wat kan leiden tot extra tijdbesteding. Voor de verplichting tot het uitvoeren van een risicobeoordeling verwacht een deel van de bedrijven te kunnen volstaan met het eenmalig inregelen van een nieuwe werkwijze voor de risicobeoordeling. Voor deze werkzaamheden wordt de inzet van intern personeel aangevuld met de inhuur van externen. De ingeschatte benodigde inzet van intern personeel loopt uiteen van één medewerker die hier voltijd mee bezig is voor enkele maanden, tot 15 medewerkers die hier 10% van hun tijd aan besteden gedurende een jaar. Gemiddeld genomen verwachten bedrijven 770 uur kwijt te zijn aan het uitvoeren van de risicobeoordeling. Dit zal het werk van hoogopgeleide medewerkers zijn tegen een uurtarief van € 54,-. Voor wat betreft externe ingehuurde experts geldt dat deze een hoger extern tarief in rekening brengen. Aangezien deze kosten niet bestaan uit tijdbesteding van de organisatie worden zij als out-of-pocket-investeringen beschouwd. Gemiddeld genomen verwachten bedrijven € 6.307,- kwijt te zijn aan de inhuur van externe professionals.

Bedrijven verwachten dat zij op hoofdlijnen reeds voldoen aan de eisen van de meeste onderdelen van de zorgplicht. Op detailniveau geven bedrijven echter aan nog onvoldoende inzicht te hebben in de verschillen tussen de huidige werkwijze enerzijds en zorgplicht uit de Wwke, die nader is uitgewerkt in het Bwke. De eenmalige kosten voor het voldoen aan de zorgplicht wordt verwacht met betrekking tot het uitvoeren van een gap analysis⁵ en het schriftelijk vastleggen van het staande beleid. Voor wat betreft de naleving van de zorgplicht geven bedrijven aan dat ze maatregelen praktisch al uit te voeren, maar dat de administratieve verplichtingen desondanks leidt tot meerkosten. Bedrijven geven aan circa 2 tot 2,5 fte (gemiddeld 5.547 uur) incidenteel te moeten inzetten, gedurende 1 tot 4 jaar, voor de gap analysis en het opstellen van beleid. Deze werkzaamheden zullen worden verricht door een hoogopgeleide medewerker, met een gemiddeld (intern) uurtarief van € 54,-.

Tabel 1: eenmalige regeldrukgevolgen Wwke & Bwke

Artikelen	Tijdbeste-ding in uren	Uurtarief (€)	Out-of-pocket-kosten (€)	Totale kosten per bedrijf (P)	Aantal (Q)	Kosten (P×Q)
Artikel 14 Wwke en artikel 3 Bwke (verplichting tot het uitvoeren van een risicobeoordeling)	770	€ 54,-	€ 6.307,-	€ 47.887,-	500	€ 23.944.000,-
Artikel 15 Wwke en de artikelen 5 tot en met 12 en 14 Bwke (zorgplicht)	5.547	€ 54,-	-	€ 299.538,-	500	€ 149.769.000,-
Totaal	€ 173.713.000,-
Gemiddeld per bedrijf	€ 347.000,-

Structurele regeldrukgevolgen

Bedrijven verwachten structurele kosten voor het voldoen aan de verplichting tot het uitvoeren van een risicobeoordeling vanwege de inhoudelijke verdieping van de risicobeoordeling en de schriftelijke vastlegging van het beleid daaromtrent en de resultaten van de uitgevoerde risicobeoordeling. Daarnaast voorzien sommige bedrijven extra kosten omdat de voorgeschreven frequentie waarmee de risicobeoordeling plaats dient te vinden (minstens om de 4 jaar), hoger ligt dan onder het huidige beleid. Bedrijven hebben aangegeven dat onzekerheid over de manier waarop de toezichthoudende instanties de invulling van de risicobeoordeling op detailniveau zullen normeren, eraan bijdraagt dat het voor veel bedrijven lastig is om te voorzien welke kosten zij zullen moeten maken in het kader van de verplichting tot het uitvoeren van een risicobeoordeling.

Gemiddeld genomen verwachten bedrijven structureel 314 uur per jaar kwijt te zijn aan het voldoen aan de vereisten van artikel 14 Wwke en artikel 3 Bwke. Conform de Rijksbrede methodiek wordt in de berekening een gemiddeld (intern) uurtarief van € 54,- gehanteerd passend bij een uurtarief van een hoogopgeleide medewerker.

Eén van de geïnterviewde bedrijven heeft aangegeven te verwachten structureel gebruik te zullen maken van de diensten van externe experts om de risicobeoordeling uit te voeren, waarbij de verwachting is dat de jaarlijkse meerkosten van deze inhuur neerkomen op € 2.500,-. Een gemiddelde van de out-of-pocket-meerkosten van de bedrijven zou daarom geen goede afspiegeling vormen van de kosten voor ieder van deze bedrijven. In plaats daarvan wordt in de berekening de aanname gedaan dat 1/7 van de bedrijven structurele out-of-pocket-kosten zal maken die vergelijkbaar zijn met de hiervoor genoemde meerkosten voor een enkel bedrijf. Uitgaande van 500 bedrijven die naar verwachting onder het toepassingsbereik van de Wwke zullen komen te vallen, komt dit neer op 71 bedrijven.

De structurele kosten voor het voldoen aan de zorgplicht worden door bedrijven met name verwacht ten aanzien van de performance monitoring van de leveranciersketen. De structurele kosten zien bedrijven primair in de leveranciersketen, waarbij ze aangeven 0,25 tot 2 fte structureel te moeten inzetten voor performance monitoring van deze leveranciers, en ten behoeve van de bedrijfscontinuïteit. Het gemiddeld aantal uur aan tijdsbesteding betreft 3.386 uur. Het in te zetten personeel bestaat uit administratieve medewerkers en hoogopgeleide medewerkers, met een (gewogen) gemiddeld uurtarief van € 46,-.

Eén van de geïnterviewde bedrijven voorziet aanpassingen te moeten doen in de werkwijze omtrent voorraadbeheer. Dat bedrijf verwacht een grotere voorraad te moeten aanhouden om aan de verplichtingen op het gebied van bedrijfscontinuïteit en leveringszekerheid te voldoen (artikel 9 Bwke). Dit kan in theorie leiden tot aanzienlijke kosten. Het nemen van maatregelen in het kader van de Wwke en het Bwke heeft altijd als uitgangspunt dat deze passend en evenredig zijn. Het is daarom niet op voorhand evident dat grotere voorraden aanhouden noodzakelijk is en een schatting van deze kosten is derhalve niet opgenomen.

Tabel 2: structurele regeldrukgevolgen Wwke & Bwke

Artikelen	Tijdbeste-ding in uren	Uurtarief (€)	Out-of-pocket-kosten (€)	Totale kosten per bedrijf (P)	Aantal (Q)	Kosten (P×Q)
Artikel 14 Wwke en artikel 3 Bwke (verplichting tot het uitvoeren van een risicobeoordeling)	314	€ 54,-	€ 2.500,-	€ 17.311,-	500	€ 8.656.000,-
Artikel 15 Wwke en de artikelen 5 tot en met 12 en 14 Bwke (zorgplicht)	3.386	€ 46,-	-	€ 155.756,-	500	€ 77.878.000,-
Totaal	€ 86.534.000,-
Gemiddeld per bedrijf	€ 173.000,-

3.2 Gevolgen voor de uitvoering

Een versie van dit besluit is voorgelegd aan de Rijksinspectie Digitale Infrastructuur (RDI), het Staatstoezicht op de Mijnen (SodM), de Inspectie Gezondheidszorg en Jeugd (IGJ), de Inspectie Leefomgeving en Transport (ILT), de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (ANVS), de Rijksdienst voor het Wegverkeer (RdW), de Beveiligingsautoriteit Rijk (BVA-Rijk) en de Nederlandse Voedsel- en Warenautoriteit (NVWA). Door deze partijen is het voorgelegde concept van het Bwke beoordeeld op handhaafbaarheid, uitvoerbaarheid en fraudebestendigheid.

De reacties van deze organisaties en instanties zijn in samenhang bezien en beoordeeld. Als gevolg van de door hen uitgevoerde uitvoeringstoetsen zijn een aantal aanscherpingen gedaan in het concept van het Bwke, die met name gericht zijn op het vergroten van de doeltreffendheid van het beleid, de maatregelen die een entiteit moet hebben en de periodiciteit van evalueren.

In de toetsen hebben deze organisaties aandacht gevraagd voor de handhaafbaarheid van de risico-gebaseerde aanpak en open normen. Daarbij wordt aandacht gevraagd voor enkele praktische uitdagingen die onder meer samenhangen met de informatiepositie, samenwerking met andere toezichthouders en buitenlandse bevoegde autoriteiten en de wijze waarop meldingen worden ontvangen. Wel geven zij aan dat in algemene zin helder is wat de opgedragen taak is, zijn de organisaties zich aan het voorbereiden op een doeltreffende uitvoering en is het hun verwachting dat het Bwke effectief uitvoerbaar is.

4. Advies en consultatie

4.1 Inleiding

Een eerdere versie van dit besluit is voor advies voorgelegd aan de Autoriteit persoonsgegevens

(hierna: AP) en het ATR, opengesteld voor consultatie op www.internetconsultatie.nl en voor commentaar toegezonden aan belangenorganisaties en entiteiten. Hieronder volgt een globale bespreking van de adviezen en reacties.

4.2 Advies AP

De AP concludeert in haar advies, net als in haar advies van 20 juni 2024 op het wetsvoorstel voor de Wwke, dat bij voorkeur de te verwerken persoonsgegevens waar mogelijk in de wettekst gespecificeerd dienen te worden, of, indien niet mogelijk is, dat verduidelijking en onderbouwing in de toelichting nodig is. In lijn met hetgeen reeds is aangegeven in paragraaf 9.2 van de memorie van toelichting op de Wwke wordt het advies van de AP op dit punt wederom niet gevolgd. De redenen hiervoor zijn als volgt. Het is niet op voorhand duidelijk welke persoonsgegevens in het kader van de uitoefening van de taken uit de Wwke verwerkt zullen worden, vanwege de all hazard-benadering en het sectoroverstijgende karakter van deze regelgeving. Als op voorhand bepaalde categorieën van persoonsgegevens limitatief worden opgesomd, kan dit de verschillende instanties belemmeren in hun taakuitoefening op grond van de Wwke.

De AP wijst er daarnaast op dat de bewaartermijn voor toezichtsdoeleinden een erg lange termijn betreft. Volgens de AP geeft de nota van toelichting onvoldoende de noodzaak om persoonsgegevens voor 10 jaren te bewaren, zodat aanvulling van de toelichting op zijn plaats is. De reactie hierop is als volgt. Er wordt geen aanleiding gezien om de toelichting aan te vullen, nu daarin de noodzaak voor een maximale bewaartermijn van 10 jaren reeds is toegelicht. In de artikelsgewijze toelichting is het volgende toegelicht. Voor toezicht op en het handhavend kunnen optreden tegen een entiteit moet er een dossier worden opgebouwd. Voor de opbouw van een doorlopend toezichtsdossier en in het kader daarvan genomen besluiten en de afhandeling van eventuele bestuursrechtelijke procedures kan het nodig zijn om toezichtinformatie lang te bewaren. Persoonsgegevens kunnen daar een onlosmakelijk onderdeel van zijn, bijvoorbeeld als onderdeel van besluiten, gespreksverslagen of opgevraagde documentatie. Het gaat daarbij met name om namen, e-mailadressen en telefoonnummers van werknemers van entiteiten. Daarom is ervoor gekozen om een uiterlijke bewaartermijn voor persoonsgegevens van 120 maanden aan te houden voor zover het gaat om de verwerking van persoonsgegevens in het kader van toezicht en handhaving.Daarnaast mogen persoonsgegevens uiterlijk 120 maanden bewaard worden, maar niet langer dan noodzakelijk. Toezichthouders moeten dus persoonsgegevens die niet meer nodig zijn voor het toezicht en de handhaving al eerder verwijderen. Dit zorgt voor een uitvoerbare praktijk en zorgt tegelijkertijd voor rechtszekerheid dat persoonsgegevens uiterlijk na 120 maanden verwijderd worden.

De AP concludeert tot slot dat de in het concept opgenomen maximale bewaartermijn niet effectief is voor het tijdig verwijderen van persoonsgegevens, waardoor aanpassing van de wettekst van artikel 19, eerste lid, Bwke nodig is. Het advies wordt op dit punt niet gevolgd. De in artikel 19, eerste lid, Bwke opgenomen maximale bewaartermijn van 60 maanden is noodzakelijk voor het goed kunnen uitvoeren van de vierjaarlijkse sectorale risicobeoordeling door de bevoegde autoriteit, voor het effectief bewaren en coördineren van de samenhang door de Minister van Justitie en Veiligheid en voor het zorgdragen voor een sectoroverstijgende en doeltreffende samenwerking tussen de bevoegde autoriteiten binnen Nederland door het centrale contactpunt. Omdat de cyclus van de risicobeoordeling en het aanwijzen van kritieke entiteiten elke vier jaar doorlopen wordt, is een bewaartermijn van 60 maanden noodzakelijk om hierin voort te kunnen bouwen op kennis, bijvoorbeeld door casuïstiek, die in een vorige iteratie is opgedaan.

4.3 Advies ATR

Nut en noodzaak

Het ATR vraagt in haar advies om een aanvullende toelichting op de vraag of (onderdelen van) bestaande wet- en regelgeving niet reeds volstaan in het bereiken van de doelstelling van de Wwke. De reactie hierop is als volgt. In hoofdstuk 4 van de memorie van toelichting op de Wwke zijn de implementatiekeuzes toegelicht. Daarin is toegelicht dat de CER-richtlijn wordt geïmplementeerd in één centrale wet (de Wwke) en niet in sectorale wetten. Eén van de redenen hiervoor is dat de CER-richtlijn onderwerpen bevat die alleen in de CER-richtlijn worden gereguleerd en daardoor niet in sectorale wetten zijn geregeld. Een voorbeeld van een dergelijk onderwerp betreft de risicobeoordeling specifiek op het terrein van alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van een essentiële dienst kunnen verstoren, waaronder risico’s van sectoroverschrijdende of van grensoverschrijdende aard, natuurrampen en noodsituaties op het gebied van de volksgezondheid. In aanvulling op het voorgaande is tevens gewezen op het gegeven dat de sectorale wetgeving in veel gevallen niet geheel soortgelijk is aan de bepalingen hierover uit de CER-richtlijn. Het is wenselijk dat de verplichtingen uit de CER-richtlijn door de entiteiten uit de verschillende sectoren van de CER-richtlijn uniform worden toegepast.

Minder belastende alternatieven

Het ATR stelt in haar advies dat in het Bwke zoveel mogelijk gekozen moet worden voor de minst belastende invulling van de verplichtingen uit de CER-richtlijn en de daaruit volgende implementatiewetgeving, de Wwke. Het ATR stelt dat in de toelichting niet blijkt dat het Bwke dit uitgangspunt volgt en dat er in het Bwke geen heldere doelvoorschriften worden beschreven.

De reactie op het voorgaande is als volgt. Het uitgangspunt van de Wwke en het Bwke is dat maatregelen die kritieke entiteiten moeten nemen passend en evenredig zijn in relatie tot de risico’s die zij hebben vastgesteld op basis van de eigen risicobeoordeling en tegen het licht van de sectorale risicobeoordeling die uitgevoerd wordt door de bevoegde autoriteit (vakminister). Het is in eerste instantie aan kritieke entiteiten zelf om vast te stellen welke maatregelen passend en evenredig zijn om de risico’s, waarmee zij geconfronteerd worden, te kunnen beheersen. Wel wordt in dit besluit verdere invulling gegeven aan de zorgplicht, zoals in artikel 8 Bwke, over de specifieke maatregelen die kritieke entiteiten moeten nemen voor de adequate fysieke bescherming van hun gebouwen en hun kritieke infrastructuur.

Naar aanleiding van dit advies van het ATR is in de artikelsgewijze toelichting op enkele artikelen het doel van de voorgeschreven maatregelen nader omschreven.

In haar advies merkt het ATR ook op dat sommige entiteiten onder zowel de Cbw als de Wwke zullen vallen en dat duidelijk gemaakt moet worden hoe de samenwerking tussen autoriteiten zal leiden tot minder lastendruk. In paragraaf 2.3 van de memorie van toelichting op de Wwke is reeds toegelicht dat het uitgangspunt van beide wetten is dat deze zoveel mogelijk op elkaar aansluiten en dat de bevoegde autoriteiten van de Wwke en de Cbw nauw samenwerken en informatie uitwisselen, zodat entiteiten niet met (dubbele) administratieve lasten te maken krijgen die verder gaan dan nodig is om de doelstellingen van de Wwke en de Cbw te verwezenlijken. In deze nota van toelichting is naar aanleiding van de ontvangen consultatiereacties de toelichting toegevoegd dat de risicobeoordeling in beginsel vormvrij is en dus samengenomen mag worden, indien mogelijk, in hetzelfde document als de vereisten onder de Cbw. Ook mag het aansluiten bij gangbare (sectorale) methodieken hiervoor, zoals een Business Impact Analyse.

De artikelen 25 en 27 Wwke voorzien daarnaast in een nauwe samenwerking en gegevensuitwisseling tussen bevoegde autoriteiten. Zoals ook in de memorie van toelichting op de Wwke is toegelicht, kan worden gedacht aan onderlinge afspraken om zodoende vlot en effectief samen te werken en dubbel werk waar mogelijk te voorkomen, bijvoorbeeld bij het toezien op de toepassing van de verplichtingen op grond van de Wwke die raken aan andere bestaande sectorale regelingen. Ten behoeve van deze samenwerking wisselen de bevoegde autoriteiten de benodigde informatie uit, zoals de door een kritieke entiteit genomen maatregelen. Eenzelfde soort verduidelijking gaat ook op voor de samenwerking tussen de bevoegde autoriteiten onder zowel de Cbw als de Wwke. Daarnaast wordt gestreefd naar het inrichten van één meldportaal voor meldingen van incidenten onder de Cbw en de Wwke.

Daarnaast is in paragraaf 5.9.6 van de memorie van toelichting op de Wwke toegelicht dat het noodzakelijk is dat toezichthoudende instanties nauw met elkaar samenwerken in het belang van doelmatig en doeltreffend toezicht op de Wwke. Daarin is uiteengezet dat kan worden gedacht aan afspraken over samenloop van toezicht op eenzelfde entiteit, het voorkomen van onevenredige toezichtslasten, de uitwisseling van gegevens en een consistente uitleg van begrippen en normen uit de Wwke.

Werkbaarheid

Het ATR constateert dat het mkb is geraadpleegd, maar dat uit de nota van toelichting op het Bwke niet blijkt hoe omgegaan wordt met de zorgen die door het mkb zijn geuit. Naar aanleiding van dit advies van het ATR zijn in hoofdstuk 3 aanvullingen gedaan op dit punt.

Daarnaast vraagt het ATR of er voor mkb’ers dezelfde eisen worden gesteld als aan grotere entiteiten. De reactie hierop is als volgt. Het uitgangspunt van de Wwke en het Bwke is dat maatregelen die kritieke entiteiten moeten nemen passend en evenredig zijn in relatie tot de risico’s die zij hebben vastgesteld op basis van de eigen risicobeoordeling en tegen het licht van de sectorale risicobeoordeling. Gezien deze risicogebaseerde aanpak, zullen de eisen en maatregelen passend en evenredig zijn bij de risico’s en draagkracht van het bedrijf zelf. Om dit nog extra te benadrukken is in artikel 8 Bwke aangevuld dat de kritieke entiteit passende en evenredige maatregelen neemt, gebaseerd op de risicobeoordeling, voor de fysieke bescherming van haar gebouwen en kritieke infrastructuur. De risicogebaseerde aanpak van de Wwke en het Bwke geven bedrijven daarnaast de ruimte om aan te sluiten bij bestaande sectorale methodieken en praktijk, om zo ook lasten te verminderen. Bedrijven kunnen er bijvoorbeeld voor kiezen om de risicobeoordeling van de Cbw en de Wwke - waar mogelijk - in één document vatten.

Het ATR stelt voorts dat het niet duidelijk wordt of (gerichte) overheidsondersteuning aan het mkb geboden zal worden om de werkbaarheid van de verplichtingen voor het mkb te verbeteren. In paragraaf 5.8 van de memorie van toelichting op de Wwke is beschreven waar de ondersteuning aan kritieke entiteiten in ieder geval uit zal bestaan. Die ondersteuning is gericht op alle kritieke entiteiten, waaronder dus ook het mkb.

Gevolgen regeldruk

Het ATR heeft bij het wetsvoorstel voor de Wwke geadviseerd om meer inzicht te geven in de regeldrukgevolgen van de onderliggende algemene maatregel van bestuur (hierna: amvb). Conform het advies van het ATR is er een regeldrukonderzoek uitgevoerd door een onafhankelijk onderzoeksbureau voor het Bwke.

Het ATR adviseert om de regeldruk, overeenkomstig de daarvoor geldende Rijksbrede methodiek, ook in kaart te brengen voor de zorgplicht uit de Wwke en nader uitgewerkt in het Bwke, en om beter te onderbouwen hoe verschillende inschattingen (bijvoorbeeld de inschatting van de tijdsbesteding) tot stand zijn gekomen. In reactie hierop is het onderzoek uitgebreid en wordt er in hoofdstuk 3 nader ingegaan op de gehanteerde methodiek en de bevindingen van het regeldrukonderzoek.

4.4 Internetconsultatie

Doel van het beleid en risicogebaseerde aanpak

Uit een aantal consultatiereacties, waaronder die van het Verbond van Nederlandse Ondernemingen - Nederlands Christelijk Werkgeversverbond (hierna: VNO-NCW), de Koninklijke Vereniging MKB-Nederland (hierna: MKB-Nederland) en de Koninklijke Vereniging van de Nederlandse Chemische Industrie (hierna: VNCI), blijkt dat waarde wordt gehecht aan de risicogebaseerde aanpak, omdat dat de regeldruk kan verminderen en recht doet aan de mogelijk grote sectorale verschillen. De reactie hierop is als volgt. De risicogebaseerde aanpak wordt in het Bwke vormgegeven door kritieke entiteiten met name te verplichten beleid te hebben over aspecten die de zorgplicht raken.

In een aantal consultatiereacties, waaronder die van Port of Rotterdam, Groningen Airport Eelde, Energie-Nederland, Vewin, de Unie van Waterschappen en het Nederlands Normalisatie-Instituut (hierna: NEN), wordt aangekaart dat een duidelijkere verwoording van het doel van het gevraagde beleid bijdraagt aan het verhogen van de weerbaarheid van een kritieke entiteit, bijvoorbeeld omdat de te nemen maatregelen dan logischer volgen of omdat de bevoegde autoriteit (toezichthoudende instantie) dan gerichter kan toezien op de mate van weerbaarheid. Naar aanleiding van deze reacties is in de artikelsgewijze toelichting op diverse artikelen duidelijker omschreven wat het doel is van het gestelde beleid.

Groningen Airport Eelde stelt dat de hoeveelheid beleid die moet worden opgesteld nadrukkelijk moet worden afgewogen ten opzichte van het risico en proportionaliteit en vraagt om een lichte en zware variant van het Bwke, met oog op de lastendruk voor kleinere organisaties. De reactie hierop is als volgt. Het kader dat in het Bwke wordt gesteld is al de variant waarbij kritieke entiteiten primair zelf de ruimte krijgen om invulling te geven aan de te nemen maatregelen, waarbij de inschatting welke maatregelen proportioneel zijn ten opzichte van het risico nadrukkelijk primair bij de kritieke entiteit zelf ligt. Dit om zoveel mogelijk ruimte te geven aan kleinere entiteiten om naar gelang capaciteit en in navolging van de eigen risicobeoordeling invulling te geven aan de eisen die in de Wwke en het Bwke gesteld worden. De bevoegde autoriteit (toezichthoudende instantie) zal uiteindelijk toetsen of de door de kritieke entiteit uitgevoerde risicobeoordeling recht doet aan de risico’s en dreigingen en of de genomen maatregelen in verhouding zijn met de risicobeoordeling.

Het NEN benoemt daarnaast dat de nota van toelichting op een aantal punten verder gaat in de verplichte voorschriften dan het Bwke zelf. De reactie hierop is als volgt. De nota van toelichting gaat niet verder dan de vereisten uit het Bwke. De nota van toelichting geeft invulling en kleur aan hetgeen het Bwke voorschrijft.

Verder stelt het NEN dat het Cbb beter uitgewerkte eisen oplegt aan partijen en adviseert hiervan zaken over te nemen. De reactie hierop is als volgt. Waar mogelijk zijn het Cbb en het Bwke op elkaar afgestemd. De NIS2-richtlijn (welke wordt geïmplementeerd in de Cbw en het Cbb) kent echter andere uitgangspunten ten opzichte van de CER-richtlijn (welke wordt geïmplementeerd in de Wwke en het Bwke) en is op onderdelen ook gedetailleerder, wat niet altijd aansluit op of overeenkomt met de CER-richtlijn.

Risicobeoordeling

Onder meer door VNO-NCW, MKB-Nederland en het Centraal Bureau Levensmiddelenhandel wordt aangekaart dat zij het wenselijk achten dat kritieke entiteiten de risicobeoordeling en de daarop volgende maatregelen zoveel mogelijk met de vereiste risicoanalyse van de Cbw kunnen combineren. De reactie hierop is als volgt. Mits aan de aspecten van de Wwke en het Bwke wordt voldaan, is de risicobeoordeling in beginsel vormvrij. Het ligt dan ook voor de hand dat kritieke entiteiten beide risicobeoordelingen zo kunnen inrichten om dubbele lasten te voorkomen. Ter verduidelijking is de artikelsgewijze toelichting op artikel 3 Bwke op dit punt aangevuld.

Energie-Nederland stelt dat de formulering “periodiek”, welke onder meer wordt gebruikt in de artikelen 3, eerste lid, 8, derde lid, en 9, eerste lid, Bwke, nog verder ingevuld kan worden. Naar aanleiding daarvan is het besluit op dit punt aangepast, en is bepaald dat evaluatie van beleid of maatregelen in de hierboven genoemde artikelen ten minste iedere vier jaar gebeurt, tenzij er aanleiding is om dit eerder te doen.

Artikel 3, tweede lid, Bwke, schrijft voor dat de kritieke entiteit in de risicobeoordeling ook de risico’s meeweegt die door de dienstverlening van haar rechtstreekse leveranciers en rechtstreekse dienstverleners kunnen ontstaan voor de levering van de essentiële dienst. Onder meer het NEN, RWE Generation NL en de Unie van Waterschappen stellen dat er meer vastgelegd moet worden door een kritieke entiteit over de afhankelijkheden van leveranciers en dienstverleners. De reactie hierop is als volgt. Het in kaart brengen van alle afhankelijkheden is een complex en tijdrovend proces. Om zorg te dragen voor een proportionele regeldruk en uitvoeringslast voor bijvoorbeeld kleinere bedrijven, is er in deze bepaling voor gekozen om dit in de risicobeoordeling op te nemen. Zo worden kritieke entiteiten wel verplicht om zich te verhouden tot deze mogelijke kwetsbaarheid, maar kan er een afweging gemaakt worden in de mate van detail en proportionaliteit ten aanzien van de risico’s.

In de consultatiereacties van Schiphol en Port of Rotterdam wordt gevraagd om een definitie van rechtstreekse leveranciers en rechtstreekse dienstverleners. Naar aanleiding hiervan is artikel 7 Bwke aangevuld met “voor zover die gerelateerd zijn aan de essentiële dienst”.

In de consultatie geeft Schiphol aan dat het onduidelijk is waar de risicobeoordeling aan moet voldoen. De reactie hierop is als volgt. De risicobeoordeling is in beginsel vormvrij, maar wordt gevoed door de sectorale risicobeoordeling die door de bevoegde autoriteit (vakminister) gedaan wordt. De kritieke entiteit wordt hierbij ondersteund door de bevoegde autoriteit (vakminister). Door niet alle details van de risicobeoordeling vast te leggen in deze regelgeving, wordt ruimte gegeven aan de kritieke entiteit om bijvoorbeeld aansluiting te zoeken bij verplichtingen die vanuit sectorale wetgeving al bestaan.

VNCI stelt dat voor een goed geïnformeerde risicobeoordeling ook een sterke informatievoorziening noodzakelijk is. De reactie hierop is als volgt. Ook hierbij speelt de ondersteuning door de bevoegde autoriteit (vakminister) een belangrijke rol. VNCI stelt terecht dat voor het uitvoeren van de risicobeoordeling door kritieke entiteiten noodzakelijk is om gevoed te worden met de juiste actuele en relevante dreigingsinformatie. Vanuit de rijksoverheid worden hiertoe ook relevante informatiebronnen opgesteld, waaronder sectoroverstijgende documenten als de Rijksbrede Risicoanalyse Nationale Veiligheid en het Dreigingsbeeld Statelijke Actoren. Dit is onderdeel van de ondersteuning die de bevoegde autoriteit (vakminister) biedt aan een kritieke entiteit, zoals vastgelegd in artikel 10 Wwke.

Standaardnormen en methodieken

In onder meer de consultatiereacties van het NEN en de Unie van Waterschappen wordt gevraagd om het hanteren van standaardnormen, zoals ISO- of NEN-normeringen, bij het nader invullen van de zorgplicht. De reactie hierop is als volgt. Om recht te doen aan de verschillen tussen en soms ook binnen de sectoren en kritieke entiteiten onder de Wwke, is ervoor gekozen om dit niet vooraf vast te leggen. Europese en internationale standaarden en normen kunnen een goede indicatie geven van hoe technische en organisatorische veiligheids- en beveiligingsmaatregelen te treffen, maar het voldoen aan Europese of internationale standaarden betekent in zichzelf niet dat een entiteit aan de zorgplicht voldoet.

Ook wordt gesteld dat er naast een risicobeoordeling ook een Business Impact Analyse gedaan zou moeten worden door bedrijven, om de bedrijfscontinuïteit zo goed mogelijk te waarborgen. De reactie hierop is als volgt. De risicobeoordeling die op grond van de Wwke moet worden gedaan bevat voor een deel dezelfde elementen als die in een Business Impact Analyse meegenomen zouden worden, voor een goed geborgde bedrijfscontinuïteit. Naar aanleiding van deze reactie is in deze nota van toelichting nader toegelicht dat bij het opstellen van een risicobeoordeling gebruikgemaakt kan worden van (sectoraal) gangbare methodiek, zoals een Business Impact Analyse.

Regeldruk

Energie-Nederland, Groningen Airport Eelde en het NEN merken op dat de geschatte bedragen voor inhuur van een externe adviseur genoemd in de regeldrukparagraaf niet overeen komen met de tarieven die zij kennen. De reactie hierop is als volgt. De berekeningen zijn gedaan met de standaardtarieven genoemd in het Handboek Meting Regeldrukkosten, versie 2.1 d.d. 29 november 2023, en worden daarom gehandhaafd. Wel is het regeldrukonderzoek uitgebreid met meer interviews en naar aanleiding daarvan aangepast.

Daarnaast maken de Unie van Waterschappen en Energie-Nederland zich zorgen over de tijd die entiteiten krijgen om de wetgeving effectief te implementeren. In reactie hierop wordt gewezen naar de artikelen 14, derde lid, 15, vijfde lid, 17, zevende lid, Wwke, waarin is geregeld dat de daarin bedoelde verplichtingen enkele maanden na de aanwijzing als kritieke entiteit van toepassing zijn op de aangewezen kritieke entiteit.

In de consultatiereacties van Netbeheer Nederland, Port of Rotterdam en RWE Generation NL worden zorgen geuit over de administratieve druk die artikel 12 Bwke (over attenderingen, adviezen en informatie) met zich mee brengt voor kritieke entiteiten. De reactie hierop is als volgt. In dit artikel wordt gespecificeerd dat alleen de uitkomsten van de beoordeling of aanpassing of aanvulling van de maatregelen die voortvloeien uit de zorgplicht noodzakelijk is, vastgelegd hoeven worden. Daarnaast ziet de bepaling alleen op attenderingen, adviezen of informatie die specifiek gericht zijn aan de kritieke entiteit, en alleen daar waar het ziet op risico’s en dreigingen die voor de weerbaarheid van de kritieke entiteit relevant zijn. Naar aanleiding van deze consultatiereacties is dit in de artikelsgewijze toelichting op artikel 12 Bwke nader verduidelijkt.

Verhouding Cbw en sectorale wet- en regelgeving

Energie-Nederland kaart aan dat er in de Cbw andere terminologie gehanteerd wordt dan in de Wwke. De reactie hierop is als volgt. De in de Cbw gehanteerde termen vloeien voort uit de NIS2-richtlijn en die uit de Wwke vloeien voort uit de CER-richtlijn. Lidstaten hebben geen ruimte om over te gaan tot andere termen.

RWE Generation NL, de Unie van Waterschappen en VNCI uiten zorgen over conflicterende eisen vanuit sectorale wetgeving of in combinatie met de Cbw. Met betrekking tot de Cbw wordt gewezen op artikel 4 Wwke. Met betrekking tot sectorale wetgeving wordt gewezen op de aandacht voor goede sectoroverstijgende samenwerking, bijvoorbeeld tussen toezichthoudende instanties.

Toezicht

Een aantal consultatiereacties, waaronder die van VNO-NCW, MKB-Nederland, Energie-Nederland, de Vereniging van Nederlandse Gemeenten en Netbeheer Nederland, zien op toezicht. In reactie hierop wordt allereerst aangegeven dat het toezicht op de verplichtingen uit de Wwke, die worden uitgewerkt in het Bwke, wordt geregeld in de Wwke. De door diverse partijen geuite wens om voor de Cbw en de Wwke met één toezichthouder te werken die integraal toezicht houdt, wordt meegenomen bij het inrichten van het toezichtlandschap, en zal in sommige gevallen wel en in andere gevallen niet mogelijk blijken – sterk afhankelijk van de sector en het bijbehorende toezichtlandschap. Er zal worden ingezet op duidelijke samenwerkingsafspraken tussen toezichthouders. Er wordt gestreefd naar het inrichten van één meldpunt voor meldingen van incidenten onder zowel de Wwke als de Cbw, waarmee ook de toezichtlasten voor kritieke entiteiten zoveel mogelijk worden beperkt.

Vertrouwelijkheid

In een aantal consultatiereacties, waaronder die van Energie-Nederland, Vewin, Netbeheer Nederland, VNCI, RWE Generation NL en Schiphol, wordt het belang van vertrouwelijkheid van gegevensuitwisseling in het kader van de Wwke benadrukt. De reactie hierop is als volgt. Bij de voorbereiding van de Wwke is nadrukkelijk aandacht geweest voor de vertrouwelijkheid van gegevens die worden uitgewisseld in het kader van de Wwke. Dit heeft onder meer geresulteerd in artikel 34, tweede lid, Wwke. Daarin is geregeld dat de Wet open overheid niet van toepassing is op vertrouwelijke gegevens die in het kader van de Wwke worden verwerkt door de bevoegde autoriteit, het centrale contactpunt en de Minister van Justitie en Veiligheid.

Onder meer Vewin, RWE Generation NL en Netbeheer Nederland vragen aandacht voor gegevens die bijvoorbeeld aan een toezichthouder verstrekt worden in het kader van de meldplicht, waarvan vertrouwelijkheid belangrijk is. De reactie hierop is als volgt. Allereerst wordt gewezen op artikel 34, tweede lid, Wwke. Dit aandachtspunt wordt daarnaast meegenomen bij het uitwerken van de samenwerkingsafspraken tussen toezichthouders en de inrichting van de meldfunctionaliteit. De kritieke entiteit heeft daarnaast ook een eigen verantwoordelijkheid voor het waarborgen van de vertrouwelijkheid, bijvoorbeeld bij het delen van informatie over genomen maatregelen in het kader van de zorgplicht.

In de consultatiereacties van VNO-NCW en MKB-Nederland, Vewin en het Centraal Bureau Levensmiddelenhandel wordt aangegeven dat een ministeriële regeling, welke wordt gepubliceerd, over de drempelwaarden om te bepalen of een verstoring aanzienlijk is als bedoeld in artikel 17, derde lid, Wwke, mogelijk gevoelige informatie kan bevatten. Naar aanleiding van deze reactie is artikel 16, eerste lid, Bwke zodanig aangevuld, dat de vakminister de criteria op basis waarvan wordt bepaald of een verstoring aanzienlijk is als bedoeld in artikel 17, derde lid, Wwke, ten aanzien van specifieke entiteiten bij besluit kunnen worden vastgesteld.

Invulling zorgplicht

Door VNO-NCW, MKB-Nederland, Vewin en het Centraal Bureau Levensmiddelenhandel is aangegeven dat het verplichten van de concrete maatregelen in artikel 8 Bwke niet past in de geest van de CER-richtlijn. Deze maatregelen zijn echter een minimumniveau aan beschermingsmaatregelen, en nog steeds in te vullen op de manier die past bij de sector en entiteit. Dit artikel wordt daarom gehandhaafd.

Wel is naar aanleiding van deze reacties in de artikelsgewijze toelichting op artikel 9 Bwke duidelijker toegelicht dat de vorm waarin bepaalde plannen opgesteld worden de kritieke entiteit vrij staat en kan worden ingevuld met bestaande (sectorale) methodieken.

Onder andere het NEN benoemt dat veel vereisten die vanuit de zorgplicht aan een kritieke entiteit gevraagd worden, mogelijk al gedekt worden door bestaande bedrijfscontinuïteitsmanagement normen. In artikel 15 Wwke wordt verwezen naar - onder meer - bedrijfscontinuïteitsplannen om invulling te geven aan de voorschriften van de zorgplicht. In artikel 9 Bwke wordt hier verdere uitwerking aan gegeven. Het opnemen van specifieke normen druist echter in tegen de risicogebaseerde benadering van de Wwke en het Bwke. Wel wordt in deze nota van toelichting benadrukt dat het invullen van de voorschriften van de zorgplicht vormvrij is, en dat daarbij dus ook gebruik kan worden gemaakt van bestaande (bedrijfscontinuïteitsmanagement)systemen en -normen.

Onder andere het NEN suggereert om in artikel 8 Bwke te spreken van kritieke “assets” in plaats van “kritieke infrastructuur en gebouwen”, omdat dat laatste mogelijk verwarrend zijn. De reactie hierop is als volgt. Aangezien de term kritieke infrastructuur in de CER-richtlijn gedefinieerd is, wordt vastgehouden aan die term.

Personeel

In hun consultatiereacties pleiten VNO-NCW en MKB-Nederland, Energie-Nederland en VCNI ervoor om in artikel 10 Bwke de term “opleiding” te veranderen, omdat een opleiding vaak langdurig van aard is en impliceert dat er een erkend diploma behaald dient te worden. Naar aanleiding hiervan is in artikel 10 Bwke de term veranderd naar “opleidingsactiviteiten”, zodat ook kortere activiteiten zoals cursussen of trainingen hieronder geschaard kunnen worden.

Schiphol, het NEN en Port of Rotterdam vragen in hun consultatiereacties naar verduidelijking van de categorieën personeelsleden. Naar aanleiding van deze reacties is in deze nota van toelichting verduidelijkt dat het kan gaan om personeelsleden die noodzakelijk zijn voor het in stand houden van de essentiële dienst, maar ook om personeelsleden die bijzondere kennis hiervan hebben.

Het NEN stipt ook de zwaarte van screening aan. De reactie hierop is als volgt. Een entiteit kan zelf de afweging maken of een Verklaring Omtrent het Gedrag voldoende is, of dat een zwaardere screening gepast is.

Meldplicht

In de consultatiereactie van Energie-Nederland wordt gevraagd om duidelijkheid over wie een melding moet doen. De reactie hierop is als volgt. In artikel 17 Wwke is bepaald dat een kritieke entiteit een incident die de verlening van haar essentiële dienst aanzienlijk verstoort of kan verstoren, moet melden. Als een incident meerdere kritieke entiteiten bij de instandhouding van hun essentiële diensten treft, dient elke getroffen kritieke entiteit hiervan zelfstandig melding te doen.

Energie-Nederland geeft aan dat het voor een kritieke entiteit mogelijk moet zijn om bij een gedane melding nog aanvullende details op een later moment toe te voegen, omdat deze niet altijd bij de eerste melding bekend zijn. Naar aanleiding hiervan is de artikelsgewijze toelichting op artikel 17 Bwke aangevuld met een nadere toelichting op dit punt.

VNG vraagt om de evaluatieperiode van de criteria die bepalen wat een aanzienlijk verstorend incident is, te verkorten naar 2 jaar. De reactie hierop is als volgt. Een evaluatieperiode van 4 jaar is passend. Artikel 16, tweede lid, Bwke biedt de ruimte om ook eerder te evalueren als omstandigheden, zoals een verandering in het dreigingslandschap of doeltreffendheid van de criteria, daar aanleiding toe geven.

5. Overgangsrecht en inwerkingtreding

Het Bwke voorziet niet in overgangsrecht.

Met betrekking tot de inwerkingtreding van het Bwke is in artikel 20 Bwke bepaald dat het Bwke in werking treedt op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld. Op grond van dit artikel kan worden gekozen voor een gefaseerde inwerkingtreding. Dit is denkbaar in het geval dat bepaalde onderdelen van het Bwke nog niet in werking kunnen treden, terwijl dat bij andere onderdelen van het Bwke wel het geval is. De verwachting is dat bij de inwerkingtreding van (onderdelen van) het Bwke een uitzondering wordt gemaakt op de vaste verandermomenten en de minimuminvoeringstermijn, omdat het Bwke strekt tot de uitvoering van de Wwke en de Wwke ziet op de implementatie van een bindende EU-rechtshandeling.

ARTIKELSGEWIJZE TOELICHTING

Artikel 1 (begripsbepaling)

Artikel 1 Bwke bevat de definitie van één begrip uit het Bwke. Daar waar in het Bwke “de wet” wordt genoemd, wordt daaronder verstaan: de Wwke.

Het Bwke bevat ook andere begrippen, zoals “risico” en “incident”, die ook voorkomen in de Wwke en al in artikel 1 Wwke zijn gedefinieerd. De in artikel 1 Wwke opgenomen definitie van die begrippen geldt ook als de definitie van diezelfde begrippen in het Bwke. In artikel 1 Wwke is namelijk bepaald dat de daarin opgenomen definities gelden voor de begrippen in de Wwke én in de daarop berustende bepalingen. Bij het Bwke is sprake van dat laatste; de bepalingen uit het Bwke berusten immers op de Wwke.

Artikel 2 (ondersteuning aan kritieke entiteiten)

In artikel 10, derde lid, Wwke is bepaald dat bij of krachtens amvb regels kunnen worden gesteld over de samenwerking met en ondersteuning aan kritieke entiteiten ten behoeve van het vergroten van hun weerbaarheid. Er is gekozen om in artikel 2 Bwke te regelen dat bij regeling van de vakminister de hiervoor bedoelde regels kunnen worden gesteld. De sectorale kennis en expertise ligt immers bij de vakminister. Het is ook de vakminister die de op grond van de Wwke verplichte risicobeoordeling uitvoert. Bovendien kan het per sector of subsector verschillen welke samenwerking of ondersteuning nodig is. Een sectorale invulling van de ondersteuning aan en samenwerking met kritieke entiteiten is dan ook wenselijk.

Artikel 3 (risicobeoordeling door de kritieke entiteit)

In artikel 14, vijfde lid, Wwke is geregeld dat bij of krachtens amvb nadere regels kunnen worden gesteld over de uitvoering van de risicobeoordeling, bedoeld in artikel 14, eerste lid, Wwke. Op grond van dat artikel zijn in artikel 3 Bwke enkele regels opgenomen over het uitvoeren van de risicobeoordeling.

Eerste lid

Artikel 3, eerste lid, Bwke verplicht kritieke entiteiten om vastgesteld beleid te hebben over het uitvoeren van de risicobeoordeling. De risicobeoordeling is in beginsel vormvrij en kan bijvoorbeeld aansluiten op documenten waarin andere risicoanalyses zijn opgenomen, zoals die voor de Cbw. Ook mag de risicobeoordeling aansluiten bij gangbare (sectorale) methodieken hiervoor, zoals een Business Impact Analyse.

In het beleid worden de stappen en procedures voor de totstandkoming van de risicobeoordeling uiteengezet. Er kan bijvoorbeeld worden begonnen bij het in kaart brengen van de kritieke infrastructuur en de belangen of doelstellingen van de entiteit die verband houden met de noodzakelijke continuïteit, integriteit en vertrouwelijkheid van de verlening van de essentiële dienst door de kritieke entiteit. Na het in kaart brengen van deze aspecten kan de kritieke entiteit bijvoorbeeld bepalen welke dreigingen, kwetsbaarheden en risico’s zich kunnen voordoen en hoe groot de gevolgen daarvan kunnen zijn waardoor zij een adequate basis heeft voor het treffen van weerbaarheidsverhogende maatregelen. Hierbij is het van belang dat de kritieke entiteit als onderdeel van de risicobeoordeling nagaat of de overblijvende restrisico’s na het nemen van de maatregelen acceptabel zijn.

De kritieke entiteit evalueert het beleid ten aanzien van de risicobeoordeling ten minste elke vier jaar uit, of eerder als daartoe aanleiding bestaat. Aanleiding om eerder te evalueren kan bijvoorbeeld ontstaan door ontwikkelingen, veranderingen in de sector of binnen de entiteit, voortschrijdend inzicht of veranderingen in risico’s en dreigingen waarmee de entiteit geconfronteerd wordt.

Tweede lid

Artikel 3, tweede lid, Bwke verplicht kritieke entiteiten om bij het uitvoeren van hun risicobeoordeling rekening te houden met de mate waarin de dienstverlening van hun rechtstreekse leveranciers en rechtstreekse dienstverleners risico’s kunnen vormen voor hun verlening van essentiële diensten. Met rechtstreeks wordt bedoeld die leveranciers en dienstverleners die direct leveren aan de kritieke entiteit. Er kunnen bijvoorbeeld risico’s ontstaan als er een afhankelijkheid van een rechtstreekse leverancier of rechtstreekse dienstverlener bestaat. Andere voorbeelden van risico’s zijn een zwakke weerbaarheid van een leverancier of dienstverlener of het hebben van ongereguleerde toegang van leveranciers tot kritieke infrastructuur.

Sectoren, leveranciers en dienstverleners zijn op steeds meer nationale, en ook internationale lagen en lijnen verbonden. Daardoor raken risico’s ook verbonden. Voor een individuele sector of entiteit is het lang niet altijd duidelijk welke afhankelijkheden, en dus mogelijke kwetsbaarheden er bestaan. Veelal blijkt pas bij een incident dat een groot aantal organisaties binnen een sector diensten afneemt van één partij. Incidenten bij een dergelijke partij, ongeacht de aard of oorzaak, heeft mogelijk grootschalige nationale of zelfs grensoverschrijdende impact tot gevolg.

Kritieke entiteiten moeten bij het uitvoeren van de risicobeoordeling ook nadrukkelijk oog hebben voor rechtstreekse leveranciers en rechtstreekse dienstverleners die doelbewust de weerbaarheid van de kritieke entiteit kunnen ondermijnen.

Derde lid

In artikel 3, derde lid, Bwke is bepaald dat kritieke entiteiten de uitgevoerde risicobeoordeling schriftelijk moeten vastleggen. Hiermee wordt voor de relevante organisatielagen van de kritieke entiteit en de bevoegde autoriteit (toezichthoudende instantie) inzichtelijk hoe de risicobeoordeling is uitgevoerd en waarom tot bepaalde conclusies is gekomen.

Artikel 4 (uitvoering van artikel 15 van de wet)

In artikel 4 Bwke is bepaald dat kritieke entiteiten in elk geval de maatregelen, bedoeld in de artikelen 5 tot en met 14 Bwke, moeten nemen, waarmee zij uitvoering geven aan de zorgplicht, bedoeld in artikel 15 Wwke.

Artikel 5 (identificatie kritieke infrastructuur)

Artikel 5, eerste lid, Bwke verplicht kritieke entiteiten om vastgesteld beleid te hebben over de identificatie van hun kritieke infrastructuur. Deze bepaling strekt ter uitvoering van artikel 15, eerste lid, onderdelen a, b, c, d en e, Wwke. Het doel van het hebben van beleid over de identificatie van kritieke infrastructuur is enerzijds dat de kritieke entiteit welbedacht en structureel haar infrastructuur analyseert op het belang en de noodzakelijkheid voor de verlening van een essentiële dienst en anderzijds dat de kritieke entiteit kan aantonen hoe zij komt tot de identificatie van haar kritieke infrastructuur zodat de bevoegde autoriteit (toezichthouder) inzicht krijgt in de manier van identificeren. Het identificeren van de kritieke infrastructuur dient ertoe om alle voorzieningen, faciliteiten, apparatuur of onderdelen hiervan die noodzakelijk zijn voor de verlening van essentiële dienst of diensten goed in beeld te hebben. Hiermee wordt inzichtelijk welke afhankelijkheden er bestaan tussen essentiële diensten en infrastructuur, waarna het mogelijk wordt om in de risicobeoordeling te kijken naar kwetsbaarheden en risico’s die zich kunnen voordoen en hoe groot de gevolgen daarvan kunnen zijn. Daarmee wordt het beter mogelijk om te bepalen welke maatregelen kritieke entiteiten kunnen nemen om deze risico’s te mitigeren. De kritieke entiteit moet motiveren hoe zij tot de identificatie is gekomen.

Artikel 5, tweede lid, Bwke verplicht kritieke entiteiten om een actueel overzicht te hebben van hun kritieke infrastructuur. Dit overzicht is nodig om te allen tijde snel en adequaat te kunnen handelen en maatregelen te kunnen nemen indien de weerbaarheid van de kritieke infrastructuur of de essentiële dienst of diensten in het geding is. Dit overzicht is niet alleen van belang voor de respons van de kritieke entiteit zelf, maar ook voor de respons van de bevoegde autoriteit (vakminister) en betrokken (overheids)instanties in het kader van ondersteuning als bedoeld in artikel 10 Wwke. Te denken valt aan een veiligheidsregio ten tijde van zware overstromingen of de politie in het kader van terroristische dreigingen.

Artikel 6 (verwerving, ontwikkeling, onderhoud, herstel en beëindiging van kritieke infrastructuur)

Artikel 6 Bwke verplicht kritieke entiteiten om vastgesteld beleid te hebben over het verwerven, ontwikkelen, onderhouden, herstellen en beëindigen van hun kritieke infrastructuur. Artikel 6 Bwke strekt ter uitvoering van artikel 15, eerste lid, onderdelen a, c en d, Wwke.

Het hiervoor bedoelde beleid dwingt kritieke entiteiten om te allen tijde na te denken over het gewenste weerbaarheidsniveau van hun kritieke infrastructuur en de eventuele maatregelen die genomen kunnen worden om dit niveau te handhaven. Dit draagt bij aan het kunnen voorkomen, bestrijden en beperken van incidenten en het herstellen van incidenten. Entiteiten kunnen vanaf de beginfase, bijvoorbeeld met behulp van het zogenoemde security and safety by design-principe, zorgen voor weerbaarheidsmaatregelen en zich beter beschermen tegen alle relevante door de natuur en door de mens veroorzaakte risico’s. Met het beleid kunnen zij ook wijzigingen van de kritieke infrastructuur bijhouden en controleren, zodat er een actueel beeld is van de weerbaarheid van de kritieke infrastructuur. Daarnaast kan het beleid bijdragen aan een goed beeld van de benodigde personele expertise en capaciteit die nodig zijn om de kritieke infrastructuur te ontwikkelen, onderhouden en herstellen.

Artikel 7 (rechtstreekse leveranciers en rechtstreekse dienstverleners)

Artikel 7, eerste lid, Bwke strekt ter uitvoering van artikel 15, eerste lid, onderdelen a, c, d en e, Wwke en verplicht kritieke entiteiten om hun rechtstreekse leveranciers en rechtstreekse dienstverleners te identificeren voor zover deze gerelateerd zijn aan de essentiële dienst en om vastgesteld beleid te hebben over de rol van de rechtstreekse leveranciers en rechtstreekse dienstverleners ten aanzien van de weerbaarheid en instandhouding van de essentiële dienst, op basis van de risicobeoordeling, bedoeld in artikel 3, tweede lid, Bwke. Rechtstreekse leveranciers zijn leveranciers waarmee een entiteit een contractuele relatie heeft. Dit zijn de leveranciers die direct goederen of diensten aan de entiteit leveren, zonder tussenpersonen.

Het is niet alleen van belang dat kritieke entiteiten hun rechtstreekse leveranciers en rechtstreekse dienstverleners die cruciaal zijn voor de instandhouding van de essentiële dienst identificeren, maar ook dat er middels beleid nagedacht is over hoe moet worden omgegaan met de mate waarin de dienstverlening van haar rechtstreekse leveranciers en rechtstreekse dienstverleners risico’s kan vormen voor de verlening van de essentiële dienst door de kritieke entiteit. Het doel van dit beleid is om de kritieke entiteit te laten nadenken over welke rol rechtstreekse leveranciers en rechtstreekse dienstverleners vervullen bij het instandhouden van haar essentiële dienst, zodat deze risico’s beperkt kunnen worden met beheersmaatregelen. Hierbij valt te denken aan eventuele risico’s die voortkomen uit de afhankelijkheid van één leverancier of de mate van toegang die een leverancier heeft tot bepaalde beveiligingszones. De rol die rechtstreekse leveranciers en rechtstreekse dienstverleners hebben kan immers verschillen en zo is het denkbaar dat er voor bepaalde (categorieën van) leveranciers en dienstverleners verschillende maatregelen nodig kunnen zijn om eventuele risico’s te mitigeren.

Artikel 8 (bescherming)

Artikel 8 Bwke gaat over de maatregelen die kritieke entiteiten moeten nemen voor de bescherming van hun gebouwen en kritieke infrastructuur. Deze bepaling strekt ter uitvoering van artikel 15, eerste lid, onderdelen a tot en met c, Wwke.

Artikel 8, eerste lid, Bwke verplicht kritieke entiteiten om maatregelen te nemen voor de adequate fysieke bescherming van hun gebouwen en hun kritieke infrastructuur. Het is belangrijk dat kritieke entiteiten maatregelen nemen over de toegang tot hun gebouwen en hun kritieke infrastructuur, onder meer ter voorkoming van ongeautoriseerde toegang. Ongeautoriseerde toegang tot bepaalde gebouwen, dan wel onderdelen hiervan, en de kritieke infrastructuur zou immers de weerbaarheid van entiteiten en de door hen verleende essentiële diensten kunnen schaden. Het is denkbaar dat kritieke entiteiten daarbij het uitgangspunt hanteren dat er zo min mogelijk toegang wordt verleend indien dat niet strikt noodzakelijk is. Anderzijds is het ook van belang om maatregelen te nemen die bereikbaarheid van kritieke infrastructuur in stand houden in geval crisis, zoals bij overstromingen of grootschalige wateroverlast.

In artikel 8, eerste lid, onderdelen a tot en met e, Bwke is neergelegd welke maatregelen kritieke entiteiten in ieder geval moeten nemen voor de adequate fysieke bescherming van hun gebouwen en hun kritieke infrastructuur. Zij moeten in ieder geval beveiligingszones instellen. Beveiligingszones dragen bij aan het voorkomen van onbevoegde toegang tot gebouwen. Deze dragen ook bij aan het voorkomen van schade aan en ongewenste beïnvloeding van kritieke infrastructuur. Kritieke entiteiten moeten ook in ieder geval maatregelen treffen die zien op toegangsbeveiliging. Hiermee wordt gewaarborgd dat alleen bevoegde fysieke toegang plaatsvindt. Om onbevoegde toegang te voorkomen, is het nodig om kantoren, ruimten, faciliteiten, bedrijfsmiddelen buiten het terrein en nutsvoorzieningen die van belang zijn voor de instandhouding van haar kritieke infrastructuur adequaat te beveiligen. Bij de overweging welke maatregelen nodig zijn voor de adequate fysieke bescherming kan worden gedacht aan het plaatsen van omheiningen, het oprichten van barrières, instrumenten en routines voor bewaking van de omgeving en toegangscontroles. Het monitoren van de beveiliging draagt hier ook aan bij en heeft tot doel onbevoegde toegang te detecteren en te voorkomen. Het plaatsen en beschermen van apparatuur draagt ten slotte bij aan de risico's op fysieke en omgevingsdreigingen en op toegang door onbevoegden en schade te beperken. Te denken valt ook aan elektronische en bouwkundige maatregelen, waar mogelijk afgestemd op de reactietijd van ondersteunende diensten zoals bewaking of politie.

In artikel 8, tweede lid, Bwke is bepaald dat wanneer kritieke entiteiten risico’s hebben geïdentificeerd ten aanzien van natuurrampen en klimaatverandering, zij in ieder geval maatregelen nemen in het kader van die risico’s die op of rondom hun huidige en toekomstige locaties kunnen bestaan, zowel ondergronds als bovengronds. Bij de hiervoor bedoelde gevolgen kan onder meer gedacht worden aan de gevolgen van gebeurtenissen op de essentiële dienstverlening die voortvloeien uit bijvoorbeeld mogelijke overstromingen, grootschalige wateroverlast, zeespiegelstijging, droogte en hitte. Dergelijke dreigingen kunnen acuut zijn, bijvoorbeeld bij een overstroming of grootschalige wateroverlast, maar ook chronisch van aard zijn wanneer bijvoorbeeld door toenemende droogte verzilting, zoetwaterbeschikbaarheid, verzakkingen en lage rivierstanden risico’s kunnen vormen voor de kritieke entiteit. Om de blootstelling en impact van fysieke natuurrampen en klimaatrisico’s op gebouwen en kritieke infrastructuur te bepalen, gebruiken kritieke entiteiten in ieder geval de Handreiking klimaatbestendige vitale infrastructuur. Hiermee kan tot nadere uitwerking van de maatregelen worden gekomen.

Artikel 9 (crisismanagementplan en bedrijfscontinuïteitsplan)

Artikel 9 Bwke verplicht kritieke entiteiten om plannen vast te stellen voor het beheersen van crisis en incidenten en voor het waarborgen van de bedrijfscontinuïteit. Deze bepaling strekt ter uitvoering van artikel 15, eerste lid, onderdelen c en d, Wwke.

Plan voor het beheersen van crisis en incidenten

Indien een crisis of incident zich voordoet zal er een vorm van crisis- of incidentrespons moeten plaatsvinden. Deze respons vindt plaats met behulp van een plan dat ziet op crisis- of incidentmanagement, hierna incident- of crisismanagementplan genoemd, en richt zich op het beperken van de schade van het incident. Een dergelijk plan is vormvrij en maatwerk en wordt afgestemd op de responsbehoeften van de kritieke entiteit en haar afnemers. De kritieke entiteit gaat hierbij ook na welke mogelijke maatregelen genomen zouden kunnen worden ten tijde van en na een incident. Welke maatregelen passend en evenredig zijn, hangt af van verschillende factoren zoals de omvang, de potentiële impact en de locatie van het incident. In het belang van een goede crisiscommunicatie en de beheersing van eventuele keteneffecten kan het ook van belang zijn om de status van de kritieke infrastructuur, bijvoorbeeld de beëindiging of het in onderhoud zijn als bedoeld in artikel 6 Bwke, met de relevante crisispartners te delen.

Een crisismanagementplan kan verder betrekking hebben op de taken en verantwoordelijkheden voor het personeel, en waar relevant, (rechtstreekse) leveranciers en dienstverleners, met vermelding van de taakverdeling in crisissituaties, specifiek te volgen stappen en passende maatregelen om de weerbaarheid van de kritieke infrastructuur te waarborgen.

Plan voor het waarborgen van de bedrijfscontinuïteit

Een dergelijk plan, hierna bedrijfscontinuïteitsplan genoemd, is een document met richtlijnen en benaderingen die beschrijven hoe de essentiële dienst of diensten beschermd kunnen worden tegen uitval (preventief) en hoe de essentiële dienst of diensten na een incident snel kunnen worden hervat (correctief). Een dergelijk plan is vormvrij en maatwerk en wordt afgestemd op de continuïteitsbehoeften van de kritieke entiteit en haar afnemers. Wel kan er bijvoorbeeld door een kritieke entiteit voor gekozen worden om hiervoor bestaande en/of gangbare bedrijfscontinuïteitsmanagementsystemen of -normen te gebruiken als hulpmiddel. De kritieke entiteit gaat hierbij ook na welke mogelijke maatregelen genomen zouden kunnen worden ten tijde van en na een incident.

In artikel 9, derde lid, Bwke is bepaald dat een bedrijfscontinuïteitsplan in ieder geval moet bestaan uit procedures en mogelijke maatregelen voor noodvoorzieningen (onderdeel a), procedures en mogelijke maatregelen om de essentiële dienst te beschermen voor uitval en zo spoedig mogelijk te herstellen na een incident (onderdeel b) en (indien van toepassing) procedures voor het gebruik van beveiligde noodcommunicatiesystemen binnen de entiteit (onderdeel c). Ter uitvoering van artikel 9, derde lid, onderdelen a en b, Bwke moet een kritieke entiteit een back-up-strategie hebben en waar mogelijk redundant zijn.

Een back-upstrategie is een onderdeel van een bedrijfscontinuïteitsplan en is nodig in het geval een incident de beschikbaarheid, integriteit, toegankelijkheid of continuïteit van de essentiële dienst of diensten verstoort. De kritieke entiteit richt de back-upstrategie in aan de hand van de gedane risicobeoordelingen. Een door water ondergelopen ruimte vraagt immers om een ander type back-up dan een sabotageaanval. Een goede back-upstrategie houdt daarom rekening met diverse risico’s en mitigerende maatregelen.

Ook redundantie is een onderdeel van een bedrijfscontinuïteitsplan. Door te zorgen voor redundantie, beschikbare alternatieven (voor kritieke infrastructuur), personeel met de nodige verantwoordelijkheid, bevoegdheid en bekwaamheid en passende communicatiekanalen wordt gewaarborgd dat de essentiële dienst of diensten zo goed mogelijk doorgang kunnen vinden.

Voor bepaalde kritieke entiteiten kan het nodig zijn procedures op te stellen voor het gebruik van beveiligde noodcommunicatiesystemen binnen de entiteit, om continuïteit van de essentiële dienst te waarborgen of de gevolgen van een incident of crisis te beperken. Dit is denkbaar bij bijvoorbeeld kritieke entiteiten waarvan de kritieke infrastructuur is verspreid over verschillende (geografische) gebieden en het op verschillende locaties in contact kunnen staan ten tijde van uitval van de reguliere communicatiesystemen van cruciaal belang is voor de weerbaarheid van de kritieke infrastructuur of de te leveren essentiële dienst(en). Dit is zowel relevant voor een crisis- of incidentmanagementplan en een bedrijfscontinuïteitsplan.

Artikel 10 (personeel)

Artikel 10 Bwke gaat over het personeel van kritieke entiteiten en strekt ter uitvoering van artikel 15, eerste lid, onderdeel c, d, e en f, Wwke.

In artikel 10, eerste lid, Bwke is bepaald dat kritieke entiteiten beleid hebben over de taken, bevoegdheden en verantwoordelijkheden voor de weerbaarheid en het beheer van hun kritieke infrastructuur. Het doel van dit beleid is niet allen om de kritieke entiteit hierover te laten nadenken, maar ook zodat in geval van uitval van personeel of een crisis herleidbaar is welke (categorieën) personeelsleden onmisbaar zijn voor de instandhouding van de essentiële dienst. Daarnaast dient het op schrift stellen van dit beleid de navolgbaarheid van naleving, met het oog op toezicht. Op grond van artikel 10, tweede lid, Bwke moet dat beleid in elk geval de identificatie omvatten van categorieën personeelsleden die kritieke functies vervullen, daarbij rekening houdend met het personeel van externe dienstverleners. Dit kunnen bijvoorbeeld personeelsleden zijn die noodzakelijk zijn voor het in stand houden van de essentiële dienst, of die hierover kennis hebben. Doordat zij ten aanzien van de weerbaarheid van de kritieke infrastructuur duidelijk vastleggen wie waarvoor verantwoordelijk is en deze verantwoordelijkheden categoriseert, wordt voorkomen dat onduidelijk is wie actie moet ondernemen om de desbetreffende taken goed uit te voeren om de weerbaarheid te waarborgen. Het is bijvoorbeeld van belang dat het beleid en de categorisering van het personeel ook gekoppeld is aan de risicobeoordeling en bijvoorbeeld het beleid ten aanzien van de identificatie van de kritieke infrastructuur of het crisismanagementplan, zodat te allen tijde en voor alle situaties inzichtelijk is wie welke rol en bevoegdheden heeft.

Naast duidelijkheid in de rollen en verantwoordelijkheden, is de betrouwbaarheid van de personen die met de kritieke infrastructuur werken ook cruciaal voor de weerbaarheid van de kritieke entiteit. Als deze personen onbetrouwbaar zijn óf de maatregelen niet toepassen, dan hebben deze maatregelen beperkt effect. De kritieke entiteit moet daarom niet alleen de betrouwbaarheid van haar eigen personeel waarborgen, maar eveneens van het personeel van haar externe dienstverleners. Afhankelijk van de gedane risicobeoordelingen, kunnen door de daarvoor verantwoordelijke vakminister vertrouwensfuncties worden aangewezen en kan er voor bepaalde functionarissen een screening plaatsvinden op basis van de Wet veiligheidsonderzoeken. Hierbij kan onder meer worden gedacht aan functionarissen met uitgebreide rechten in kritieke omgevingen. Een andere mogelijkheid is het door de kritieke entiteit verplicht stellen van een Verklaring Omtrent het Gedrag (VOG) voor specifieke rollen. De toezichthoudende instantie kan de kritieke entiteit of de vakminister adviseren over het instellen van vertrouwensfuncties dan wel andere vormen van screeningsprofielen.

Artikel 10, derde lid, Bwke gaat over het verzorgen van periodieke bewustwordings-,oefenings- en opleidingsactiviteiten voor het personeel van kritieke entiteiten. De personen die verantwoordelijk zijn voor de weerbaarheid van kritieke infrastructuur moeten hun kennis en kunde actueel houden om zo nieuwe risico’s te kunnen doorgronden en te kunnen inspelen op nieuwe ontwikkelingen. Daarnaast is het van belang dat weerbaarheid een breed gedragen begrip wordt binnen de kritieke entiteit en dat elke organisatielaag zich bewust is van de risico’s voor de essentiële dienstverlening en kritieke infrastructuur en de noodzaak van voldoende weerbaarheid. De entiteit moet daarom bewustwordings-, oefenings- en opleidingsactiviteiten verzorgen voor haar personeel, passend bij de functies en rollen. Deze kunnen bijvoorbeeld betrekking hebben op de werking en beveiliging van bepaalde kritieke infrastructuur, briefing over bekende risico’s, crisismanagement, specifieke modus operandi en trainingen over incidentafhandeling.

Artikel 11 (toegang tot gevoelige informatie)

Artikel 11 Bwke gaat over de toegang tot gevoelige informatie en strekt ter uitvoering van artikel 15, eerste lid, onderdeel a en e, Wwke.

Artikel 11, eerste lid, Bwke verplicht kritieke entiteiten om beleid te hebben over de beveiliging, integriteit en vertrouwelijkheid van gevoelige informatie die van belang is voor de weerbaarheid van hun essentiële diensten en kritieke infrastructuur. Artikel 11, tweede lid, Bwke schrijft voor dat dat beleid in elk geval de rubricering van gevoelige informatie en de toegang tot gevoelige informatie moet omvatten. Het doel van dit beleid is om inzage in vertrouwelijke informatie alleen voor bevoegde personen mogelijk te maken en onbevoegde inzage te voorkomen. Onrechtmatige openbaarmaking of inzage in bepaalde informatie kan immers risico’s met zich meebrengen ten aanzien van beveiligingskwetsbaarheden binnen een kritieke entiteit. Ook kan het vastleggen van beleid over toegang tot gevoelige informatie willekeur voorkomen. Tot slot dient het op schrift stellen van dit beleid de navolgbaarheid van naleving, met het oog op toezicht.

Informatie behoort te worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de

entiteit, op basis van vertrouwelijkheid, integriteit, en beveiliging. Classificaties en gerelateerde beschermende beheersmaatregelen voor informatie behoren rekening te houden met de bedrijfsbehoeften ten aanzien van het delen of beperken van informatie, het beschermen van de integriteit van informatie en het waarborgen van beschikbaarheid, alsmede wettelijke eisen met betrekking tot de vertrouwelijkheid, integriteit of beveiliging van de informatie. Denk hierbij aan sectorale wetgeving of voor overheidspartijen het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie.

Een gangbaar uitgangspunt hierbij is dat er zo min mogelijk inzage in gevoelige informatie wordt verleend aan personen indien het niet strikt noodzakelijk is. Bij gevoelige informatie kan bijvoorbeeld worden gedacht aan technische informatie over hoe bepaalde functionaliteiten van de essentiële dienst of kritieke infrastructuur worden uitgevoerd of bepaalde klantgegevens van belangrijke afnemers van de essentiële dienst of diensten. Gevoelige informatie kan vertrouwelijke gegevens als bedoeld in artikel 35 Wwke zijn.

Artikel 12 (attenderingen, adviezen en informatie)

Artikel 12 Bwke gaat over gerichte attenderingen, adviezen en informatie in relatie tot de weerbaarheid van kritieke entiteiten. Kritieke entiteiten kunnen deze attenderingen, adviezen en informatie ontvangen van bijvoorbeeld relevante overheidsinstanties en rechtstreekse leveranciers. Hierbij kan worden gedacht aan de veiligheidsregio’s, die bijvoorbeeld goed zicht hebben op regionale risico’s middels onder meer het regionale risicoprofiel. Adviezen van zulke instanties kunnen (nog niet bekende) relevante inzichten of informatie bevatten die ten goede kunnen komen aan de weerbaarheid van de kritieke entiteit.

Wanneer entiteiten de hiervoor bedoelde attenderingen, adviezen en informatie ontvangen, moeten zij beoordelen of op basis daarvan aanpassingen of aanvullingen nodig zijn van de maatregelen die nodig zijn ter uitvoering van de zorgplicht. Indien de kritieke entiteit adviezen en/of attenderingen ontvangt die twijfel kunnen oproepen over de effectiviteit van de getroffen maatregelen, is het van belang dat een kritieke entiteit hier een duidelijke afweging over maakt. Zij moeten de uitkomsten van die beoordeling schriftelijk vastleggen. Het is denkbaar dat adviezen niet altijd (direct) opgevolgd worden wanneer de gevolgen hiervan schadelijker zijn dan de gevolgen van de kwetsbaarheid zelf. Als een advies niet relevant is voor de weerbaarheid van de kritieke entiteit, zal er geen aanpassing of aanvulling van maatregelen plaatsvinden en hoeft deze beoordeling dus niet schriftelijk vastgelegd te worden.

Artikel 13 (weren producten en diensten van leveranciers)

Inleidende opmerkingen

Essentiële diensten vormen het zenuwstelsel van de maatschappij, en weerbaarheid van de kritieke entiteiten die deze dienst verlenen, is onlosmakelijk verbonden met de nationale veiligheid. Een wezenlijke geopolitieke ontwikkeling die onze samenleving raakt is dat Nederland (en de Europese Unie) steeds vaker openlijk of heimelijk wordt geconfronteerd met handelingen van statelijke actoren, die bewust of onbewust de belangen van Nederland, waaronder de nationale veiligheidsbelangen, kunnen schaden. In het licht van de bescherming van die belangen voorziet artikel 13, eerste lid, Bwke in de bevoegdheid van de betrokken vakminister om, in overeenstemming met de Minister van Justitie en Veiligheid, een kritieke entiteit de verplichting op te leggen om met betrekking tot haar kritieke infrastructuur producten of diensten van specifieke leveranciers te weren.

Artikel 13, eerste lid, Bwke geeft een nadere uitwerking aan de algemene zorgplicht van artikel 15 Wwke en hiermee wordt onder meer geconcretiseerd dat deze zorgplicht in de in artikel 13, eerste lid, Bwke genoemde gevallen kan leiden tot eigendomsregulering.

Reikwijdte

De betrokken vakminister maakt gebruik van de in artikel 13, eerste lid, Bwke geregelde bevoegdheid indien naar zijn oordeel dit noodzakelijk is om incidenten bij een kritieke entiteit die de nationale veiligheid raken te voorkomen, te beperken of te beheersen. Daarbij legt hij aan een kritieke entiteit de verplichting op om in (bepaalde delen van) haar kritieke infrastructuur producten of diensten van een specifieke partij niet te gebruiken. Wat moet worden verstaan onder kritieke infrastructuur volgt uit de definitiebepaling van deze term in artikel 1 Wwke. Het gaat om een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, of een onderdeel van een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, hetgeen noodzakelijk is voor de verlening van een essentiële dienst. In de op te leggen maatregel zal worden bepaald op welke kritieke infrastructuur van de kritieke entiteit de maatregel ziet.

Bij de inzet van de bevoegdheid zal het moeten gaan om de producten of diensten van leveranciers die zelf de intentie hebben om incidenten bij de kritieke entiteit te veroorzaken of van leveranciers die nauwe banden hebben met of onder invloed staan van een dergelijke partij. Denk bijvoorbeeld aan een situatie waarbij een leverancier opzettelijk een onderdeel uit een product voor de kritieke infrastructuur weglaat om op deze wijze een incident te veroorzaken, waardoor de essentiële dienst aanzienlijk wordt verstoord, of waarbij de leverancier van een onderhoudsdienst van bepaalde kritieke infrastructuur de mogelijkheid krijgt om een incident te veroorzaken, waardoor de essentiële dienst aanzienlijk wordt verstoord.

Beoordeling

De bovengenoemde maatregel wordt opgelegd door de vakminister, in overeenstemming met de Minister van Justitie en Veiligheid, als naar zijn oordeel de maatregel noodzakelijk is om incidenten bij een kritieke entiteit die de nationale veiligheid raken te voorkomen, te beperken of te beheersen. Bij die beoordeling wordt als uitgangspunt genomen: de beoordeling van de risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij producten en diensten. Die beoordeling staat vermeld in een brief van de Minister van Justitie en Veiligheid aan de Tweede Kamer over C2000.⁶ Deze beoordeling wordt ook gehanteerd in het Besluit veiligheid en integriteit telecommunicatie, waarin een soortgelijke bevoegdheid is opgenomen.

De beoordeling is nader gespecificeerd naar het doel van de Wwke, te weten het versterken van de weerbaarheid, bedoeld in artikel 1 Wwke, van kritieke entiteiten en het vermogen van die entiteiten om essentiële diensten, bedoeld in artikel 1 Wwke, te verlenen.

Bij de beoordeling of van de bevoegdheid uit artikel 13, eerste lid, Bwke gebruik moet worden gemaakt, zal de vakminister het volgende in ogenschouw nemen:

1. Is de partij die de dienst of product levert afkomstig, of staat hij onder controle van een partij, uit een land met wetgeving die commerciële of particuliere partijen verplicht samen te werken met de overheid van dat land, in het bijzonder met staatsorganen die zijn belast met een inlichtingen- of militaire taak, of is de partij een staatsbedrijf?

2. Is de partij die de dienst of product levert afkomstig uit een land met een actief offensief inlichtingenprogramma gericht op Nederland en Nederlandse belangen of afkomstig uit een land waarmee de Nederlandse relatie dusdanig gespannen is dat acties die Nederlandse belangen aantasten voorstelbaar zijn?

Indien het antwoord op de bovenstaande vragen positief is, zal er sprake zijn van een partij die nauwe banden heeft met of onder invloed staat van een staat of entiteit die de intentie heeft om incidenten bij een kritieke entiteit te veroorzaken, of waarvoor gronden zijn om dergelijke banden of invloed te vermoeden. Dan komen de volgende vragen aan de orde:

3A. Krijgt de partij die de dienst of product levert uitgebreide toegang tot kritieke infrastructuur, waarbij misbruik kan leiden tot een incident bij de kritieke entiteit die de nationale veiligheid raakt?

3B. Zijn er maatregelen mogelijk en realiseerbaar die het risico op misbruik dat kan leiden tot een incident bij de kritieke entiteit die de nationale veiligheid raakt voldoende beheersen?

De reikwijdte van de bevoegdheid is beperkt tot de kritieke infrastructuur die in de beschikking wordt aangewezen. Bij de afweging welke kritieke infrastructuur in de beschikking wordt aangewezen, komen bovenstaande overwegingen als volgt aan bod. Eerst wordt de kritieke infrastructuur in kaart gebracht, met inachtneming van artikel 5 Bwke. Overeenkomstig artikel 1 Wwke zijn dit voorzieningen, faciliteiten, apparatuur, netwerken of systemen, of een onderdeel van een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, hetgeen noodzakelijk is voor de verlening van een essentiële dienst (overweging 3A). Vervolgens wordt beoordeeld of het opleggen van de onderhavige maatregel in relatie tot die kritieke infrastructuur noodzakelijk is om incidenten bij de kritieke entiteit die de nationale veiligheid raken te voorkomen, te beperken of te beheersen. Dit houdt in dat er geen beheersmaatregelen, met name de overige in het Bwke voorgeschreven maatregelen, mogelijk en realiseerbaar zijn om deze risico’s voldoende te mitigeren (overweging 3B). De kritieke infrastructuur waar dit voor geldt wordt vervolgens aangewezen in de beschikking, waarmee de reikwijdte van de verplichting om uitsluitend gebruik te maken van vertrouwde leveranciers tot die aangewezen kritieke infrastructuur is beperkt.

Bij risico voor de nationale veiligheid kan worden gedacht aan sabotage, beïnvloeding of spionage door statelijke actoren of andere derde partijen in de kritieke infrastructuur van een kritieke entiteit.

Termijn

Het zal voor een kritieke entiteit niet altijd mogelijk zijn om per direct gevolg te geven aan de op grond van artikel 13, eerste lid, Bwke genomen beschikking, zonder hiermee de continuïteit van de essentiële dienst te riskeren. In zo’n geval zal de vakminister op grond van artikel 13, tweede lid, Bwke in de beschikking een termijn opnemen waarbinnen de reeds in gebruik zijnde producten of diensten dienen te worden vervangen of beëindigd.

Eigendomsregulering

Het Bwke biedt met artikel 13, eerste lid, de grondslag om een beschikking op te leggen die kan leiden tot eigendomsregulering van de kritieke entiteit. Van eigendomsregulering is sprake wanneer de gebruiksmogelijkheden van het eigendom worden beperkt, zonder dat de beschikking over het eigendom verloren gaat. Bij een beschikking op basis van artikel 13, eerste lid, Bwke is sprake van regulering van eigendom en geen (de facto) onteigening: het leidt immers niet tot verlies van eigendom dan wel dat de beschikking over het eigendom verloren gaat. De producten waarop de beschikking betrekking heeft behouden waarde, blijven eigendom van kritieke entiteiten en kunnen door hen te gelde worden gemaakt.

Artikel 1 van het Eerste Protocol bij het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: EP EVRM) beschermt het recht op eigendom. Een beschikking op grond van artikel 13, eerste lid, Bwke vormt een inmenging in het in artikel 1 EP EVRM vervatte eigendomsrecht van kritieke entiteiten. Van belang is dat het begrip “eigendom” in de zin van artikel 1 EP EVRM een autonome betekenis heeft. Dat betekent dat dit begrip een eigen betekenis heeft die losstaat van de betekenis die in de rechtstelsels van de verdragsstaten aan het begrip “eigendom” wordt gegeven. Bij de vraag of sprake is van eigendom in de zin van artikel 1 EP EVRM gaat het er volgens het Europees Hof voor de Rechten van de Mens (hierna: EHRM) uiteindelijk om dat in de omstandigheden van het geval sprake is van een “title to a substantive interest”. Uit jurisprudentie valt af te leiden dat het in algemene zin dient te gaan om op economische, op geld waardeerbare aanspraken en belangen.⁷ Toekomstige inkomsten die nog niet betaald zijn en waarop naar nationaal recht ook nog geen vaststaand recht bestaat, kwalificeren volgens het EHRM bijvoorbeeld niet als eigendom in de zin van artikel 1 EP EVRM.

Het EHRM erkent dat een staat ter borging van het algemeen belang (het gebruik van) eigendom mag reguleren en aan eigendom beperkingen mag onderwerpen als aan een aantal voorwaarden wordt voldaan. Een inbreuk op het eigendomsrecht is gerechtvaardigd wanneer er sprake is van regulering van eigendom en deze aan de legaliteitstoets, de legitimiteitstoets en de evenredigheidstoets (“fair balance”) voldoet.

De legaliteitstoets houdt in dat de inmenging in het eigendomsrecht voorzien moet zijn bij wet of daarop gebaseerde regelgeving. De toepasselijke nationale regeling moet voldoende toegankelijk, precies en voorzienbaar zijn. Artikel 13, eerste lid, Bwke voldoet aan deze vereisten.

De legitimiteitstoets houdt in dat de inmenging enkel mag plaatsvinden in het algemeen belang en dat deze een legitiem doel dient. Het EHRM laat staten een ruime beoordelingsmarge bij het vaststellen van wat als een legitieme doelstelling in het kader van het algemeen belang kan gelden; nationale veiligheid kan daar ook onder geschaard worden. Hierbij is wel van belang dat wordt overwogen of de ingrijpendheid van de maatregel in redelijke verhouding staat tot het ermee beoogde legitieme doel (proportionaliteit) en of er geen andere, minder ingrijpende maatregelen mogelijk zijn om ditzelfde doel te bereiken (subsidiariteit). Bij de beschikking op grond van artikel 13, eerste lid, Bwke zal de vakminister aandacht moeten besteden aan de proportionaliteit en de subsidiariteit van dat besluit. Dat betekent dat de vakminister bij de beschikking zal moeten beoordelen of kan worden volstaan met de maatregelen die de betrokken entiteit in het kader van de zorgplicht reeds heeft genomen of nog kan nemen. Indien dat niet het geval, moet de vakminister beoordelen tot welke kritieke infrastructuur het weren van producten van specifieke leveranciers zou moeten uitstrekken.

De evenredigheidstoets vraagt om de beoordeling of met de beschikking op grond van artikel 13, eerste lid, Bwke sprake is van een rechtvaardig en evenwichtig resultaat, oftewel “fair balance”, tussen het algemeen belang en de belangen van – in dit geval – de entiteit die wordt geraakt door de inmenging in haar eigendomsrecht. Bij de beoordeling of sprake is van een “fair balance” dienen verschillende aspecten in ogenschouw te worden genomen. De toepassing van de in artikel 13, eerste lid, Bwke opgenomen bevoegdheid mag niet leiden tot een individuele en buitensporige last voor de betrokken kritieke entiteit. Er moet bovendien een redelijke mate van evenredigheid bestaan tussen de gebruikte middelen en het nagestreefde doel. Een van de aspecten die een belangrijke rol speelt in het kader van de “fair balance” is de voorzienbaarheid van de maatregel (in casu de toepassing van de in artikel 13, eerste lid, Bwke opgenomen bevoegdheid). Hiermee wordt bedoeld of de maatregel in de lijn der verwachting ligt, ook al bestond er nog geen concreet zicht op de omvang waarin, de plaats waar en het moment waarop de ontwikkeling zich zou voordoen. Een kritieke entiteit is op grond van artikel 15 Wwke verplicht om passende en evenredige technische, beveiligings- en organisatorische maatregelen te nemen om voor haar weerbaarheid te zorgen. Daarmee is echter niet altijd op voorhand te zeggen dat risico’s op het gebied van de weerbaarheid voldoende kunnen worden beheerst wanneer in specifiek aan te wijzen kritieke infrastructuur niet uitsluitend producten of diensten van vertrouwde leveranciers worden gebruikt (en welke leveranciers als vertrouwd worden gezien). In sommige gevallen kan er sprake zijn van schade die voortvloeit uit het (vroegtijdig, voor afloop van de afschrijvingstermijn) moeten vervangen van producten, hetgeen op het moment van aanschaf niet voorzienbaar was. In zulke gevallen kan het noodzakelijk zijn nadeelcompensatie te bieden, om de vereiste “fair balance” te bereiken.

Nadeelcompensatie

Titel 4.5 van de Algemene wet bestuursrecht (hierna: Awb) behelst een codificatie van het égalitébeginsel en geeft de belangrijkste materiële en procedurele regels voor de toekenning van nadeelcompensatie. In artikel 4:126, eerste lid, Awb is bepaald dat indien een bestuursorgaan in de rechtmatige uitoefening van zijn publiekrechtelijke bevoegdheid of taak schade veroorzaakt die uitgaat boven het normale maatschappelijke risico en die een benadeelde in vergelijking met anderen onevenredig zwaar treft, het bestuursorgaan de benadeelde desgevraagd een vergoeding toekent. De op grond van de onderhavige bevoegdheid op te leggen beschikkingen vallen onder de reikwijdte van deze bepaling en meer algemeen titel 4.5 Awb.

Schade op grond van het égalitébeginsel komt alleen voor vergoeding in aanmerking voor zover de schade onevenredig is en in rechtstreeks verband staat tot het genomen besluit. Van onevenredige schade is sprake indien de schade op een beperkte groep burgers of bedrijven drukt (speciale last) en de schade boven het normaal maatschappelijke of ondernemersrisico uitstijgt (abnormale last).⁸

Voor de volledigheid wordt opgemerkt dat bij de beantwoording van de vraag of er een redelijk evenwicht bestaat tussen de eisen van het algemeen belang van de samenleving en de bescherming van de fundamentele rechten van het individu in het licht van artikel 1 EVRM EP, zoals hierboven is toegelicht, betrekt het EHRM de vraag of er een schadevergoeding is toegekend, alsmede de omvang daarvan. Op grond van de regeling in titel 4.5 Awb wordt de vraag naar de vergoedbaarheid van de schade en de omvang van de schadevergoeding los behandeld van de vraag naar de rechtmatigheid van het schadeveroorzakend overheidshandelen. Dit komt niet in strijd met de bescherming die artikel 1 EVRM EP beoogt te bieden, mits bestuursorganen zich er bij het nemen van een schadeveroorzakend besluit al rekenschap van geven dat het besluit aanleiding kan vormen voor aanspraken op nadeelcompensatie. In verband daarmee dient bij het nemen van het besluit tevens te worden bezien of er voor de afhandeling van een verzoek om nadeelcompensatie een met voldoende waarborgen omklede rechtsgang openstaat.⁹ Dit is het geval nu een entiteit op grond van artikel 4:126, eerste lid, Awb een aanvraag voor nadeelcompensatie kan indienen.

Vrij verkeer van goederen

Een op grond van artikel 13, eerste lid, Bwke genomen beschikking is een kwantitatieve invoerbeperking (of maatregel van gelijke werking) in de zin van artikel 34 Verdrag betreffende de werking van de Europese Unie (hierna: VWEU). Een beperking in het vrije verkeer van goederen is slechts toegestaan indien dit gerechtvaardigd kan worden wegens een dwingende reden van algemeen belang, of in geval van discriminatoire maatregelen: een van de belangen opgesomd in artikel 36 VWEU, waaronder de bescherming van de openbare orde en openbare veiligheid, hetgeen ook de nationale veiligheid omvat. Een maatregel die leidt tot een beperking in het vrije verkeer van goederen moet voorts geschikt zijn om het beoogde doel te bereiken en niet verder gaan dan noodzakelijk is.

Zoals hierboven toegelicht vindt een op grond van artikel 13, eerste lid, Bwke opgelegde maatregel (in casu de verplichting tot het weren van bepaalde diensten of producten van bepaalde leveranciers) zijn rechtvaardiging in het voorkomen, beperken of beheersen van incidenten die de nationale veiligheid raken bij kritieke entiteiten. Het opleggen van een dergelijke maatregel is enkel aan de orde als de maatregel geschikt is om het nagestreefde belang te beschermen en als de geconstateerde risico’s niet afdoende te ondervangen zijn met maatregelen die de betrokken entiteit met name in het kader van de zorgplicht reeds heeft genomen. De maatregel zal in dat geval niet verder gaan dan nodig voor het beoogde doel en geschikt zijn om het beoogde doel te bereiken.

Internationale handels- en investeringsafspraken

Bij een beschikking op basis van artikel 13, eerste lid, Bwke, die betrekking heeft op reeds in gebruik zijnde producten of diensten in de daarbij aangewezen kritieke infrastructuur van de betrokken kritieke entiteit, is tevens van belang dat de internationale afspraken tussen het Koninkrijk der Nederlanden en derde landen over investeringsbescherming in acht worden genomen. Onder deze afspraken wordt een buitenlandse investeerder in Nederland (en worden Nederlandse investeerders in het betreffende derde land) beschermd tegen onder meer onredelijk en/of discriminatoir handelen van de overheid. Daarnaast bieden deze afspraken voorwaarden op basis waarvan onteigend mag worden, namelijk indien de maatregel die tot (de facto) onteigening leidt non-discriminatoir is, in het publiek belang is en waartegenover een gepaste schadevergoeding wordt geboden. Indien een overheid jegens die investeerder niet redelijk heeft gehandeld of de voorwaarden voor onteigening heeft geschonden, kan de investeerder daartegen compensatie eisen. Dit is alleen van belang waar het gaat om een reeds bestaande investering.

Uit hetgeen hiervoor ten aanzien van de eigendomsregulering en nadeelcompensatie is besproken (vraagstukken waarvoor de toetsing dezelfde beginselen volgt), kan worden geconcludeerd dat beschikkingen op grond van artikel 13, eerste lid, Bwke in beginsel geen schending opleveren van de internationale investeringsbeschermingsafspraken op dit terrein. De vakminister zal bij het opleggen van beschikkingen op grond van artikel 13, eerste lid, Bwke steeds per geval toetsen aan de genoemde specifieke vereisten.

Verder is van belang dat een dergelijke beschikking geen afbreuk doet aan de handelsafspraken over diensten en goederen aangegaan onder de Wereldhandelsorganisatie (World Trade Organization) en bilaterale en regionale handelsakkoorden van de Europese Unie met derde landen. Deze akkoorden voorzien onder bepaalde voorwaarden in een uitzondering op de regels van markttoegang en non-discriminatoire behandeling. Zo kan een dergelijke beschikking gezien het doel van de maatregel gerechtvaardigd worden met een beroep op de algemene uitzondering voor de bescherming van de nationale veiligheid. Bij het nemen van de beschikking op grond van artikel 13, eerste lid, Bwke zal de vakminister moeten toetsen of dergelijke beperkende maatregelen noodzakelijk zijn om deze doelstelling te verwezenlijken, en er dus geen alternatieve maatregel bestaat die de handel minder beperkt en waarvan redelijkerwijs geacht wordt dat een staat die maatregel neemt. Uit artikel 13, eerste lid, Bwke blijkt dat de beschikking uitsluitend wordt opgelegd indien het opleggen van de verplichting om in kritieke infrastructuur producten of diensten van specifieke leveranciers te weren, noodzakelijk is om risico’s die de nationale veiligheid raken te beheersen. Hieruit volgt tevens dat een dergelijke maatregel alleen wordt opgelegd indien andere maatregelen, meer in het bijzonder de maatregelen die de betrokken kritieke entiteit in het kader van de wettelijke zorgplicht al heeft genomen, onvoldoende zijn om de risico’s voor de nationale veiligheid te beheersen.

Wat betreft een beroep op de uitzonderingen ter bescherming van de nationale veiligheid geldt nog specifiek dat een staat maatregelen kan nemen die het nodig acht ter bescherming van het wezenlijke belang van haar veiligheid en die (voor zover hier relevant) enkel worden toegepast in tijd van oorlog of van gevaarlijke internationale spanningen. Daarnaast kan een staat maatregelen nemen tot handhaving van de internationale vrede en veiligheid ingevolge haar verplichtingen krachtens het Handvest van de Verenigde Naties.

Gezien het doel en de vereiste onderbouwing van de verplichting, bedoeld in artikel 13, eerste lid, Bwke, namelijk de bescherming van de nationale veiligheid, is een beschikking op grond van artikel 13, eerste lid, Bwke – afhankelijk van de specifieke situatie – in beginsel te rechtvaardigen onder de geldende uitzonderingsgronden van de handelsafspraken. De vakminister zal bij het opleggen van een beschikking op grond van artikel 13, eerste lid, Bwke steeds per geval toetsen aan de genoemde specifieke vereisten.

Rechtsbescherming

De aan een kritieke entiteit op te leggen verplichting, bedoeld in artikel 13, eerste lid, Bwke, is een besluit in de zin van de Awb. Tegen het besluit staan rechtsmiddelen (bezwaar, beroep en hoger beroep) open.

Artikel 14 (evaluatie)

In artikel 14 Bwke is geregeld dat kritieke entiteiten de maatregelen die zij hebben genomen in het kader van de zorgplicht ten minste elke vier jaar moeten evalueren, of eerder, indien daartoe aanleiding is. Met deze voorgeschreven periode van ten minste elke vier jaar wordt aangesloten bij de verplichting van kritieke entiteiten tot het uitvoeren van een risicobeoordeling, wat ook ten minste elke vier jaar moet gebeuren (of eerder, indien daartoe aanleiding is).

Er kan voor een kritieke entiteit aanleiding zijn om eerder dan vier jaar na de vorige evaluatie te evalueren, bijvoorbeeld vanwege ontwikkelingen, veranderingen in de sector of binnen de entiteit, voortschrijdend inzicht of veranderingen in risico’s en dreigingen waarmee de entiteit geconfronteerd wordt en die invloed hebben op de continue weerbaarheid van de entiteit. Gerichte attenderingen en adviezen van relevante partijen, zoals overheidsinstanties, kunnen ook aanleiding geven om over te gaan tot een (eerdere) evaluatie van de hiervoor bedoelde maatregelen.

De evaluaties hebben tot doel om op basis daarvan te beoordelen of de maatregelen die zijn genomen in het kader van de zorgplicht aangepast moeten worden. Overigens is de aanpassing van de genomen maatregelen in het kader van de zorgplicht een continue proces. Niet alleen een evaluatie kan aanleiding geven tot het aanpassen van één of meerdere maatregelen, maar ook een uitgevoerde nieuwe risicobeoordeling of een gerichte attendering kan daar bijvoorbeeld aanleiding toe geven.

Artikel 15 (nadere regels)

In artikel 15 Bwke is een grondslag opgenomen om bij ministeriële regelingen van de vakministers nadere regels te stellen over de maatregelen die kritieke entiteiten moeten nemen in het kader van de zorgplicht. Hierbij kan onderscheid worden gemaakt tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten. Het maken van onderscheid kan in sommige gevallen nodig zijn, bijvoorbeeld vanwege de (afwijkende) aard van een bepaalde sector ten opzichte van andere sectoren.

De grondslag in artikel 15 Bwke is niet enkel beperkt tot de maatregelen die worden genoemd in artikel 15, eerste lid, Wwke en die zijn uitgewerkt in het Bwke. De grondslag biedt de mogelijkheid om regels te stellen over alle maatregelen die nodig zijn om voor de weerbaarheid te zorgen en is dus niet enkel beperkt tot de maatregelen die in artikel 15, eerste lid, Wwke worden genoemd en die zijn uitgewerkt in het Bwke.

Artikel 16 (aanzienlijke verstoring)

Artikel 17, vijfde lid, Wwke regelt dat bij of krachtens amvb de criteria worden vastgesteld op basis waarvan wordt bepaald of sprake is van een aanzienlijke verstoring als bedoeld in artikel 17, derde lid, Wwke, waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, categorieën van entiteiten en entiteiten. Die criteria staan ook bekend als drempelwaarden. In artikel 15, eerste lid, Bwke is geregeld dat de hiervoor bedoelde criteria worden vastgesteld bij ministeriële regeling van de vakminister. De in ministeriële regelingen opgenomen drempelwaarden zijn openbaar, aangezien ministeriële regelingen moeten worden gepubliceerd. Artikel 15, eerste lid, Bwke voorziet in de mogelijkheid om de drempelwaarden – in plaats van het vaststellen hiervan in een ministeriële regeling – vast te stellen bij besluit. De vakminister kan hiertoe overgaan als de openbaarmaking van de drempelwaarden ten aanzien van specifieke entiteiten onaanvaardbare risico’s met zich mee kan brengen voor de desbetreffende entiteit en gelet daarop mogelijk ook voor de nationale veiligheid. Hierbij kan bijvoorbeeld worden gedacht aan entiteiten die bij besluit worden aangewezen als kritieke entiteit omdat een aanwijzing bij ministeriële regeling ook de hiervoor genoemde onaanvaardbare risico’s met zich mee kan brengen.

Er is gekozen voor subdelegatie, omdat het vanwege de verschillen tussen sectoren en subsectoren en in sommige gevallen zelfs tussen categorieën van entiteiten of entiteiten binnen die (sub)sectoren het niet mogelijk is om de bedoelde criteria vast te stellen die sectorbreed en dus op alle kritieke entiteiten uit alle sectoren van toepassing kunnen zijn. Door subdelegatie kunnen de vakministers bij ministeriële regelingen voor de sectoren waar zij beleidsverantwoordelijk voor zijn, criteria vaststellen, aan de hand van de kennis die zij hebben over de sectoren en met consultatie van de betrokkenen binnen die sectoren. Door het overleg met de betrokken sector kan zoveel mogelijk maatwerk worden geleverd per sector, subsector, categorie van entiteiten of per entiteit. Indien relevant kan zodoende ook rekening worden gehouden met andere sectorale meldplichten en de daarvoor geldende criteria, en de criteria die andere vakministers hebben vastgesteld voor sectoren die raakvlakken hebben met vitale processen van andere departementen.

Artikel 16, tweede lid, Bwke bepaalt dat de doeltreffendheid van de criteria en de effecten daarvan ten minste elke vier jaar moeten worden geëvalueerd door de betrokken vakminister. Met het evalueren van de doeltreffendheid van de criteria kan worden bewerkstelligd dat de criteria actueel blijven en aansluiten op de gevaren en dreigingen die voor een sector relevant zijn. Denk daarbij bijvoorbeeld aan zeer snelle technologische, klimatologische of geopolitieke ontwikkelingen. Hierbij wordt ook de effectiviteit van de meldingen in ogenschouw genomen en zal worden bezien of voldoende relevante meldingen worden gedaan en of irrelevante meldingen beperkt blijven.

Artikel 17 (gegevens waar een melding uit moet bestaan)

In artikel 17 Bwke wordt voorgeschreven welke gegevens een melding van een incident moet omvatten, aanvullend op de gegevens waarvan al bij wet (artikel 17 Wwke) is bepaald dat deze door de betrokken kritieke entiteit moeten worden verstrekt. Het is in het kader van meldingen van incidenten van belang dat ook het vermoedelijke tijdstip van de aanvang van het incident en, zo mogelijk, een prognose van de hersteltijd wordt gemeld. Hiermee kan onder meer beter worden ingeschat of en hoe respons mogelijk is, en kan ook beter worden ingeschat wat mogelijke cascade-effecten zijn op bijvoorbeeld andere essentiële diensten en daarmee op kritieke entiteiten. In het verlengde hiervan is het ook relevant dat de kritieke entiteit, zo mogelijk, melding maakt van de door haar genomen of te nemen maatregelen om de gevolgen van het incident te beperken of herhaling hiervan te voorkomen. Op grond van artikel 17 Wwke is de kritieke entiteit verplicht om de melding te doen binnen 24 uur of zo snel mogelijk, nadat zij kennisgenomen heeft van het incident en hierover informatie beschikbaar is. De kritieke entiteit kan de melding echter aanvullen als er op een later moment meer informatie beschikbaar is, bijvoorbeeld met meer details over hersteltijd en mitigatiemaatregelen.

Artikel 18 (wijze waarop een melding geschiedt)

Artikel 18 Bwke verplicht kritieke entiteiten om zelf meldingen van incidenten te doen bij een hiervoor door de bevoegde autoriteit (vakminister) ingericht meldpunt. De kritieke entiteit wordt hierover nader geïnformeerd wanneer zij door de bevoegde autoriteit (vakminister) wordt aangewezen als kritieke entiteit.

Artikel 19 (bewaring van persoonsgegevens)

In artikel 34 Wwke is bepaald dat bij of krachtens amvb regels worden gesteld over de periode gedurende welke de persoonsgegevens die bij of krachtens de Wwke zijn verwerkt, worden bewaard. In artikel 19 Bwke zijn deze maximale bewaartermijnen bepaald.

Artikel 19 Bwke maakt onderscheid tussen enerzijds de verwerking van persoonsgegevens door de bevoegde autoriteit (toezichthoudende instantie) met het oog op het toezicht op de naleving van het bepaalde bij of krachtens de Wwke en anderzijds de verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister) voor de uitvoering van haar andere taken op grond van de Wwke. Dit kan gaan om dezelfde persoonsgegevens, die met een ander doel verwerkt worden. In artikel 19, tweede lid, Bwke is bepaald dat de maximale bewaartermijn voor de eerstbedoelde persoonsgegevens 120 maanden is. Voor toezicht op en het handhavend kunnen optreden tegen bijvoorbeeld een entiteit moet er een dossier worden opgebouwd. Voor de opbouw van een doorlopend toezichtsdossier en in het kader daarvan genomen besluiten en de afhandeling van eventuele bestuursrechtelijke procedures kan het nodig zijn om toezichtinformatie lang te bewaren. Persoonsgegevens kunnen daar een onlosmakelijk onderdeel van zijn, bijvoorbeeld als onderdeel van besluiten, gespreksverslagen of opgevraagde documentatie. Het gaat daarbij met name om namen, e-mailadressen en telefoonnummers van werknemers van entiteiten. Daarom is ervoor gekozen om een uiterlijke bewaartermijn voor persoonsgegevens van 120 maanden aan te houden voor zover het gaat om de verwerking van persoonsgegevens in het kader van toezicht en handhaving. Dit zorgt voor een uitvoerbare praktijk en zorgt tegelijkertijd voor rechtszekerheid dat persoonsgegevens uiterlijk na 120 maanden verwijderd worden.

Voor de uitvoering van andere taken op grond van de Wwke door de bevoegde autoriteit (de vakminister) is een dergelijk lange bewaartermijn niet nodig. In artikel 19, eerste lid, Bwke is bepaald dat voor de bevoegde autoriteit (vakminister) voor de uitvoering van die andere taken de maximale bewaartermijn van persoonsgegevens 60 maanden is. Die bewaartermijn is ook vastgesteld voor de verwerking van persoonsgegevens door de Minister van Justitie en Veiligheid. De maximale termijn voor deze taken is ingegeven door de noodzaak voor de bevoegde autoriteiten (vakminister) om onderling, met de Minister van Justitie en Veiligheid en met de kritieke entiteiten in contact te staan om voor de weerbaarheid van de essentiële diensten te kunnen zorgen. Zo moeten de bevoegde autoriteit (vakminister) en de kritieke entiteit in ieder geval met elkaar staan in contact en persoonsgegevens van contactpersonen bewaren om informatie uit de sectorale risicobeoordeling uit te wisselen voor de risicobeoordeling van de kritieke entiteit. Aangezien er tussen het uitvoeren van de risicobeoordeling door de bevoegde autoriteit (vakminister) en het uitvoeren van de risicobeoordeling door de kritieke entiteit enige tijd kan zitten, is het nodig om hiervoor een werkbare maximale bewaartermijn te hanteren. Verder is voor bijvoorbeeld het bieden van ondersteuning, als bedoeld in artikel 10 Wwke, of het ontvangen van en reageren op meldingen, als bedoeld in artikel 17 Wwke, het van belang om snel met elkaar in contact te kunnen staan. Daarbij vormen de risicobeoordelingen door zowel de bevoegde autoriteit (vakminister) als de kritieke entiteit voor deze taken ook een belangrijke basis, aangezien informatie hieruit van belang kan zijn voor adequate uitoefening van die taken. Ook hier kan bijvoorbeeld enige tijd zitten tussen wanneer een incident wordt gemeld en wanneer de risicobeoordelingen zijn uitgevoerd. Het is ook hier dus nodig om een werkbare maximale bewaartermijn te hanteren voor de persoonsgegevens van de contactpersonen die hierbij betrokken zijn. Hetzelfde geldt voor het opstellen van de strategie, als bedoeld in artikel 13 Wwke, aangezien ook hier informatie uit de risicobeoordelingen van belang kan zijn, en er enige tijd kan zitten tussen wanneer de strategie wordt opgesteld en wanneer de risicobeoordelingen zijn uitgevoerd.

Aangezien de risicobeoordelingen door zowel de kritieke entiteit als de bevoegde autoriteit (vakminister) (alsook het opstellen van de strategie) maximaal om de vier jaar moet worden uitgevoerd, wordt een termijn vier jaar (48 maanden) als vertrekpunt gehanteerd voor het vaststellen van de maximale bewaartermijn. Hierbij wordt een additionele 12 maanden meegenomen zodat er ook ruimte is voor enige overlap tussen de periode van de nieuwe risicobeoordelingen en de voorgaande risicobeoordelingen indien nadere informatie-uitwisseling daarover nog noodzakelijk is. In artikel 19, eerste lid, Bwke is daarom de maximale bewaartermijn van persoonsgegevens vastgesteld op 60 maanden.

Hierbij wordt opgemerkt dat, zoals boven uiteengezet, het met elkaar in contact kunnen staan cruciaal is om de (weerbaarheidsverhogende) taken die nodig zijn in het kader van de Wwke adequaat te kunnen uitvoeren. Indien de persoonsgegevens van contactpersonen (in verband met het verstrijken van de maximale bewaartermijn) worden verwijderd, ligt het in de rede om opnieuw de persoonsgegevens van contactpersonen op te vragen en te bewaren om de wettelijke taken te kunnen uitvoeren, uiteraard met inachtneming van de dan nieuwe (maximale) bewaartermijn.

Het centrale contactpunt vervult een verbindingsfunctie voor grensoverschrijdende samenwerking met de centrale contactpunten van andere lidstaten van de Europese Unie en met de Groep voor de weerbaarheid van kritieke entiteiten. Het is wenselijk dat het centrale contactpunt e-mailadressen en contactgegevens langere tijd kan bewaren om zo een goede samenwerking mogelijk te maken. Het is daarbij een te grote administratieve last om de contactgegevens en e-mailadressen telkens opnieuw te moeten verzamelen. Daarom is gekozen voor een maximale bewaartermijn van 60 maanden voor de verwerking van persoonsgegevens bij of krachtens de Wwke door het centrale contactpunt.

Er wordt benadrukt dat de termijnen die in artikel 19 Bwke worden genoemd, maximumtermijnen zijn. Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk is ter uitvoering van de taken op grond van de Wwke.

Artikel 20 (inwerkingtreding)

Artikel 20 Bwke bepaalt dat het Bwke in werking treedt op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld. Op grond van dit artikel kan worden gekozen voor een gefaseerde inwerkingtreding. Dit is denkbaar in het geval dat bepaalde onderdelen van het Bwke nog niet in werking kunnen treden, terwijl dat bij andere onderdelen van het Bwke wel het geval is. De verwachting is dat bij de inwerkingtreding van (onderdelen van) het Bwke een uitzondering wordt gemaakt op de vaste verandermomenten en de minimuminvoeringstermijn, omdat het Bwke strekt ter uitvoering van de Wwke, en die wet ziet op de implementatie van een bindende EU-rechtshandeling.

Artikel 21 (citeertitel)

Artikel 21 Bwke bepaalt dat de citeertitel van dit besluit luidt: Besluit weerbaarheid kritieke entiteiten.

De Minister van Justitie en Veiligheid,

---

1. PbEU 2022, L 333.↩︎

2. Op grond van artikel 23 Wwke is deze verplichting niet van toepassing op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur. Bovendien voorziet artikel 24 Wwke in de mogelijkheid om kritieke entiteiten te ontheffen van deze verplichting.↩︎

3. Op grond van artikel 23 Wwke is deze verplichting niet van toepassing op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur. Bovendien voorziet artikel 24 Wwke in de mogelijkheid om kritieke entiteiten te ontheffen van deze verplichting.↩︎

4. Op grond van artikel 23 Wwke is deze verplichting niet van toepassing op kritieke entiteiten in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur. Bovendien voorziet artikel 24 Wwke in de mogelijkheid om kritieke entiteiten te ontheffen van deze verplichting.↩︎

5. Met een gap assessment of gap analyse vergelijkt een organisatie de huidige situatie met de gewenste situatie. In het geval van de Cbw en de Wwke wordt het huidige beleid dus vergeleken met het beleid dat nodig is om te voldoen aan deze wetten.↩︎

6. Kamerstukken II 2018/19, 25124, nr. 96.↩︎

7. EHRM 30 november 2004, ECLI:CE:ECHR:2004:1130JUD004893999 (Öneryıldız/Turkije), rechtsoverweging 124; EHRM 11 januari 2007, ECLI:CE:ECHR:2007:0111JUD007304901 (Anheuser-Busch Inc./Portugal), rechtsoverwegingen 75 tot en met 78; EHRM 23 maart 2010, ECLI:CE:ECHR:2011:1018JUD000907407 (Mullai e.a./Albanië), rechtsoverweging 97. ↩︎

8. Zie onder meer ABRvS 15 juli 2015, ECLI:NL:RVS:2015:2195 en ABRvS 30 mei 2012, ECLI:NL:RVS:2012:BW6926. Zie ook hoofdstuk 4.1 in het algemeen deel van de memorie van toelichting bij de wijziging van de Awb en enkele andere wetten in verband met het nieuwe omgevingsrecht en nadeelcompensatierecht (Kamerstukken II 2018/19, 35256, nr. 3).↩︎

9. ABRvS 16 april 2003, ECLI:NL:RVS:2003:AF7355 en ABRvS 9 juli 2003, ECLI:NL:RVS:2003:AH9396.↩︎