Memorie van toelichting : Memorie van toelichting

Nr. 3 MEMORIE VAN TOELICHTING

ALGEMEEN DEEL

Inhoudsopgave

blz.

 
 
 
 
 
 

1.

Inleiding

2

2.

De CER-richtlijn

2

 

2.1

Kern van de richtlijn

2

 

2.2

Belangrijkste onderdelen van de richtlijn

2

 

2.3

Verhouding tot de NIS2-richtlijn en de Cbw

6

 

2.4

Verhouding tot de DORA

7

3.

Nationale context

8

4.

Gemaakte implementatiekeuzes op hoofdlijnen

9

5.

Hoofdlijnen van de Wwke

11

 

5.1

Sectorale risicobeoordeling

11

 

5.2

Aanwijzing kritieke entiteiten

12

 

5.3

Risicobeoordeling door kritieke entiteiten

14

 

5.4

Zorgplicht

15

 

5.5

Meldplicht

16

 

5.6

Centraal contactpunt

18

 

5.7

Bevoegde autoriteit

18

 

5.8

Ondersteuning aan kritieke entiteiten

19

 

5.9

Handhaving

20

 
 

5.9.1

Handhaving van verplichtingen uit Wwke en uitvoeringshandelingen

20

 
 

5.9.2

Bestuursrechtelijke handhaving

20

 
 

5.9.3

Handhavingsinstrumentarium

21

 
 

5.9.4

Bestuurlijke boete

21

 
 

5.9.5

Overtrederschap

23

 
 

5.9.6

Samenwerking toezichthoudende instanties

24

 

5.10

Toepassing in Caribisch deel van het Koninkrijk

25

 

5.11

Rechtsbescherming en vereisten aan besluiten

25

6.

Verhouding tot hoger recht

26

 

6.1

Inleiding

26

 

6.2

Gegevensverwerkingen

26

 

6.3

EVRM

28

 
 

6.3.1

Inmenging door openbaar gezag in recht op respect voor de persoonlijke levenssfeer

28

 
 

6.3.2

Beperkende maatregel voorzien bij wet

29

 
 

6.3.3

Beperking moet legitiem doel dienen en noodzakelijk zijn

29

 
 
 

6.3.3.1

Dringende maatschappelijke behoefte

30

 
 
 

6.3.3.2

Proportionaliteit

30

 
 
 

6.3.3.3

Subsidiariteit

31

 
 

6.3.4

Conclusie

32

 

6.4

Avg

32

 
 

6.4.1

Rechtmatigheid, behoorlijkheid en transparantie

32

 
 

6.4.2

Doelbinding

33

 
 

6.4.3

Minimale gegevensverwerking

33

 
 

6.4.4

Juistheid

33

 
 

6.4.5

Opslagbeperking

34

 
 

6.4.6

Integriteit en vertrouwelijkheid

34

7.

Verhouding tot nationale regelgeving

34

 

7.1

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

34

 

7.2

Ministerie van Economische Zaken

34

 

7.3

Ministerie van Financiën

35

 

7.4

Ministerie van Infrastructuur en Waterstaat

35

 

7.5

Ministerie van Klimaat en Groene Groei

36

 

7.6

Ministerie van Landbouw, Visserij, Voedselzekerheid en Natuur

38

 

7.7

Ministerie van Volksgezondheid, Welzijn en Sport

38

 

7.8

Ministerie van Klimaat en Groene Groei, Ministerie van Infrastructuur en Waterstaat
en Ministerie van Volksgezondheid, Welzijn en Sport

40

8.

Gevolgen

41

 

8.1

Gevolgen voor burgers en bedrijven

41

 
 

8.1.1

Inleiding

41

 
 

8.1.2

Zorgplicht

41

 
 

8.1.3

Meldplicht

42

 
 

8.1.4

Toezichtlasten

43

 
 

8.1.5

Eenmalige kennisnamekosten

44

 

8.2

Gevolgen voor de uitvoering

44

 

8.3

Financiële gevolgen voor de overheid

44

 

8.4

Gegevensbeschermingseffectbeoordeling

45

9.

Advies en consultatie

46

 

9.1

Inleiding

46

 

9.2

Advies AP

46

 

9.3

Advies ATR

47

 

9.4

Samenhang Wwke en Cbw

48

 

9.5

Verplichtingen

48

 

9.6

Handhaving

49

 

9.7

Overige opmerkingen

49

 

9.8

Advies Raad voor de rechtspraak

51

10.

Overgangsrecht en inwerkingtreding

52

11.

Transponeringstabel

52

1. Inleiding

Dit wetsvoorstel voor de Wet weerbaarheid kritieke entiteiten (hierna: Wwke) strekt
tot de uitvoering van de Richtlijn (EU) 2022/2557 van het Europees Parlement en de
Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot
intrekking van Richtlijn 2008/114/EG van de Raad.1Deze richtlijn wordt hierna aangeduid als de CER-richtlijn, ontleend aan de woorden
critical entities en resilience die voorkomen in de Engelstalige titel van de richtlijn. De lidstaten van de Europese
Unie (hierna: lidstaten) moeten uiterlijk op 17 oktober 2024 aan de CER-richtlijn
voldoen door deze richtlijn waar nodig in hun nationale regelgeving om te zetten.
Aan het eind van het algemeen deel van deze memorie van toelichting is een transponeringstabel
opgenomen.

2. De CER-richtlijn

2.1 Kern van de richtlijn

De CER-richtlijn volgt op de zogeheten ECI-richtlijn.2 De ECI-richtlijn voorziet in een procedure voor het aanwijzen van Europese kritieke
infrastructuren in de sectoren energie en vervoer, waarvan de ontwrichting of vernietiging
aanzienlijke grensoverschrijdende gevolgen zou hebben voor ten minste twee lidstaten.
De ECI-richtlijn is in 2019 geëvalueerd. Hieruit bleek dat beschermende maatregelen
met betrekking tot louter individuele activa niet volstaan om alle verstoringen te
voorkomen, door de steeds sterkere verwevenheid en grensoverschrijdende aard van activiteiten
waarbij gebruik wordt gemaakt van kritieke infrastructuur. Het Europees Parlement
en de Europese Raad hebben daarom besloten dat er een hernieuwde aanpak moet komen.
Deze hernieuwde aanpak is uitgemond in de CER-richtlijn, die een minimumniveau introduceert
waarmee de weerbaarheid van essentiële diensten in aangewezen sectoren tegen verschillende
soorten risico’s en dreigingen wordt vergroot. Een essentiële dienst is een dienst
die van cruciaal belang is voor de instandhouding van vitale maatschappelijke functies,
economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu.

Het doel van de CER-richtlijn is om, ter instandhouding van vitale maatschappelijke
functies en de economische activiteiten in de Europese Unie (hierna: EU), de continuïteit
van de levering van essentiële diensten binnen de EU zoveel mogelijk te borgen. Op
deze manier wordt de werking van de interne markt verbeterd. De CER-richtlijn beoogt
dit te bereiken door de verschillen weg te nemen die tussen lidstaten bestaan op het
gebied van veiligheids- en beveiligingseisen die worden gesteld aan entiteiten die
vitale maatschappelijke functies en economisch belangrijke activiteiten verrichten
of diensten verlenen. Hiertoe worden in de CER-richtlijn geharmoniseerde voorschriften
vastgesteld op het gebied van veiligheids- en beveiligingseisen waar aanbieders van
essentiële diensten aan moeten voldoen. Deze aanbieders worden in de CER-richtlijn
kritieke entiteiten genoemd. Verder wordt geregeld dat vanuit lidstaten op verschillende
manieren ondersteuning moet worden geboden aan die kritieke entiteiten.3

2.2 Belangrijkste onderdelen van de richtlijn

Hierna wordt kort ingegaan op de belangrijkste onderdelen van de CER-richtlijn:

a. reikwijdte;

b. nationale risicobeoordeling;

c. aanwijzing kritieke entiteiten;

d. kritieke entiteiten van bijzonder Europees belang;

e. adviesmissies van de Europese Commissie;

f. risicobeoordeling door kritieke entiteiten;

g. verplichtingen;

h. toezicht en handhaving;

i. nationale strategie;

j. ondersteuning aan kritieke entiteiten;

k. aanwijzing centraal contactpunt en bevoegde autoriteiten;

l. samenwerking op nationaal, EU- en internationaal niveau.

a. reikwijdte

De CER-richtlijn is van toepassing op door de lidstaten aan te wijzen kritieke entiteiten
binnen de in de bijlage van de CER-richtlijn genoemde sectoren. De sectoren betreffen:
energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg,
drinkwater, afvalwater, digitale infrastructuur, overheid, ruimtevaart en de productie,
verwerking en distributie van levensmiddelen. Lidstaten kunnen op nationaal niveau
aanvullende sectoren aanwijzen waarbinnen kritieke entiteiten aangewezen kunnen worden.

b. nationale risicobeoordeling

Lidstaten moeten een nationale risicobeoordeling uitvoeren om inzicht te krijgen in
de risico’s die negatieve gevolgen kunnen hebben voor de verlening van essentiële
diensten op hun grondgebied. Deze nationale risicobeoordeling richt zich in ieder
geval op de door de Europese Commissie opgestelde (niet-limitatieve) lijst van essentiële
diensten in de sectoren, genoemd in de bijlage van de CER-richtlijn. De resultaten
van de risicobeoordeling moeten worden benut om kritieke entiteiten te identificeren
en deze entiteiten te ondersteunen bij het uitvoeren van een eigen risicobeoordeling
en het nemen van weerbaarheidsverhogende maatregelen.

c. aanwijzing kritieke entiteiten

Op grond van de CER-richtlijn moeten lidstaten beoordelen welke organisaties als kritieke
entiteit worden aangewezen binnen de sectoren en subsectoren uit de bijlage van de
CER-richtlijn, dan wel binnen de aanvullende geïdentificeerde sectoren en subsectoren.
Daarbij wordt in ieder geval gekeken naar de mate waarin een organisatie een essentiële
dienst verleent die onmisbaar is voor de uitvoering van maatschappelijke functies
en economische activiteiten.

d. kritieke entiteiten van bijzonder Europees belang

Een kritieke entiteit is van bijzonder Europees belang als deze dezelfde of soortgelijke
diensten verleent aan of in ten minste zes lidstaten. Het is aan de Europese Commissie
om te beoordelen of sprake is van een dergelijke entiteit.

e. adviesmissies van de Europese Commissie

Ten aanzien van een kritieke entiteit van bijzonder Europees belang kan een zogeheten
adviesmissie plaatsvinden. De Europese Commissie kan op verzoek van de lidstaat die
een kritieke entiteit van bijzonder Europees belang heeft geïdentificeerd als kritieke
entiteit, een adviesmissie organiseren ter beoordeling van de door die entiteit genomen
weerbaarheidsverhogende maatregelen. De Europese Commissie kan dat ook doen op eigen
initiatief of op verzoek van één of meer lidstaten waaraan of waarin de essentiële
dienst wordt verleend, mits de lidstaat die een kritieke entiteit van bijzonder Europees
belang heeft geïdentificeerd als een kritieke entiteit, hiermee instemt.

f. risicobeoordeling door kritieke entiteiten

Kritieke entiteiten moeten periodiek een risicobeoordeling uitvoeren. Deze risicobeoordeling
is er op gericht om alle relevante risico’s in kaart te brengen die de dienstverlening
van hun essentiële dienst(en) aanzienlijk kunnen verstoren.

g. verplichtingen

Naast de verplichting om een risicobeoordeling uit te voeren, bevat de CER-richtlijn
ook andere verplichtingen voor kritieke entiteiten. Zo moeten zij, op basis van de
eigen risicobeoordeling en de informatie uit de nationale risicobeoordeling, passende
en evenredige technische, beveiligings- en organisatorische maatregelen nemen om voor
hun weerbaarheid te zorgen (zorgplicht). Indien er desalniettemin toch een incident
plaatsvindt dat de verlening van de essentiële dienst aanzienlijk verstoort of kan
verstoren, dan moeten entiteiten dat melden bij de bevoegde autoriteit (meldplicht).

h. toezicht en handhaving

Er wordt toezicht gehouden op de naleving van de verplichtingen die volgen uit de
CER-richtlijn voor kritieke entiteiten. De bevoegde autoriteit kan overgaan tot het
opleggen van een sanctie.

i. nationale strategie

Voor een integrale aanpak van de weerbaarheid van kritieke entiteiten verplicht de
CER-richtlijn dat elke lidstaat beschikt over een nationale strategie. Die strategie
moet zoveel mogelijk aansluiten bij en gebruik maken van bestaande (nationale en sectorale)
strategieën. De nationale strategie moet de strategische doelstellingen en concrete
beleidsmaatregelen bevatten voor de sectoren die in de bijlage van de CER-richtlijn
genoemd worden.

j. ondersteuning aan kritieke entiteiten

Op grond van de CER-richtlijn moeten lidstaten ondersteuning bieden aan kritieke entiteiten
bij het versterken van hun weerbaarheid. Die ondersteuning kan bestaan uit het ontwikkelen
van richtsnoeren en methodologieën, hulp bij de organisatie van oefeningen om de weerbaarheid
van kritieke entiteiten te versterken en het verstrekken van advies en opleiding aan
personeel van kritieke entiteiten.

k. aanwijzing centraal contactpunt en bevoegde autoriteiten

Elke lidstaat moet één centraal contactpunt en één of meer bevoegde autoriteiten aanwijzen.
Het centrale contactpunt heeft een verbindingsfunctie in de samenwerking tussen de
lidstaten en met de Europese Commissie. De CER-richtlijn bevat diverse taken voor
de bevoegde autoriteit. Zo heeft zij taken in het kader van meldingen van incidenten,
maar ook de taak om te zorgen voor het toezicht op en de handhaving van verplichtingen.

l. samenwerking op nationaal, EU- en internationaal niveau

De CER-richtlijn schrijft samenwerking op nationaal, EU- en internationaal niveau
voor. Op nationaal niveau geldt dat wanneer de bevoegde autoriteiten en het centrale
contactpunt binnen een lidstaat afzonderlijk bestaan, zij met elkaar moeten samenwerken.
Verder bepaalt de CER-richtlijn dat lidstaten bij de uitvoering van de nationale risicobeoordeling
onder meer rekening moeten houden met de mate waarin essentiële diensten afhankelijkheid
kennen van entiteiten met een vestiging in een andere lidstaat of een derde land.
Van lidstaten wordt daarom verwacht dat zij samenwerken en informatie uitwisselen
met de bevoegde autoriteiten van andere lidstaten en derde landen. Daarnaast moeten
lidstaten elkaar raadplegen om een consistente toepassing van de CER-richtlijn te
borgen bij kritieke entiteiten met een grensoverschrijdend karakter. Voorts wordt
de zogenaamde Groep voor de weerbaarheid van kritieke entiteiten (Critical Entities Resilience Group) opgericht om de Europese Commissie te ondersteunen en om de samenwerking tussen de
lidstaten en de onderlinge informatie-uitwisseling te faciliteren.4

2.3 Verhouding tot de NIS2-richtlijn en de Cbw

Gelijktijdig met de CER-richtlijn is de Richtlijn (EU) 2022/2555 van het Europees
Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk
niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014
en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 vastgesteld.5 Die richtlijn wordt hierna aangeduid als de NIS2-richtlijn. Voor de NIS2-richtlijn
geldt dezelfde termijn waarbinnen de richtlijn moet zijn omgezet in nationale regelgeving
als voor de CER-richtlijn. De NIS2-richtlijn wordt in Nederland geïmplementeerd in
de Cyberbeveiligingswet (hierna: Cbw).

De Cbw heeft tot doel om een hoog gemeenschappelijk niveau van cyberbeveiliging in
de EU te bereiken, teneinde de werking van de interne markt te verbeteren. De Cbw
beoogt dit doel te bereiken door de verschillen weg te nemen die tussen lidstaten
bestaan. Het gaat om verschillen op het gebied van cyberbeveiligingseisen die worden
gesteld aan entiteiten die economisch belangrijke activiteiten of diensten verrichten.
De Cbw bevat, ter implementatie van de NIS2-richtlijn, diverse verplichtingen voor
essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten
verlenen. Zo gelden voor essentiële entiteiten en belangrijke entiteiten onder meer
een zorgplicht en een meldplicht.

Alle kritieke entiteiten in de zin van de Wwke zijn van rechtswege ook essentiële
entiteit in de zin van de Cbw (zie artikel 8, eerste lid, onderdeel i, Cbw). Andersom
geldt dat niet: een essentiële entiteit kwalificeert niet automatisch als kritieke
entiteit, omdat kritieke entiteiten eerst als zodanig onder de Wwke moeten worden
aangewezen.

De Cbw kent een benadering die alle gevaren omvat (all hazard) en heeft tot doel om netwerk- en informatiesystemen en de fysieke omgeving daarvan
te beschermen tegen gebeurtenissen die de beveiliging van die systemen kunnen aantasten.
Het gaat hierbij niet alleen om de enkele bescherming tegen gebeurtenissen met kwade
wil, zoals digitale aanvallen, diefstal of ongeoorloofde fysieke toegang. Het gaat
ook om de bescherming van die systemen tegen andersoortige gebeurtenissen, zoals natuurrampen.
Om de risico’s voor netwerk- en informatiesystemen te beheersen moeten entiteiten
maatregelen treffen voor zowel de digitale beveiliging van die systemen als voor de
bescherming van de fysieke omgeving en componenten van die systemen, zoals gebouwen
en ruimtes waar die systemen zich bevinden. Het kan voorkomen dat een incident of
bijna-incident gevolgen heeft die zowel de netwerk- en informatiesystemen als andere
fysieke aspecten van de essentiële dienstverlening raken. In dat geval gelden de verplichtingen
van beide wetten. De Wwke beschrijft dan de verplichtingen van de kritieke entiteit
en de respons van de bevoegde autoriteit daarop, die zich niet uitstrekt over de netwerk- en informatiesystemen of de fysieke omgeving daarvan.
Op die systemen en de omgeving daarvan is de Cbw van toepassing.

Artikel 21 Cbw ziet op de zorgplicht voor essentiële entiteiten en belangrijke entiteiten.
In artikel 21, derde lid, Cbw is geregeld dat de maatregelen die essentiële entiteiten
en belangrijke entiteiten moeten nemen voor het beheersen van cyberbeveiligingsrisico’s,
gebaseerd moeten zijn op een benadering die alle gevaren omvat en tot doel heeft netwerk-
en informatiesystemen en de fysieke omgeving van die systemen te beschermen. Daarom
moet in het kader van de zorgplicht uit de Cbw ook aandacht worden besteed aan de
fysieke beveiliging en omgevingsbeveiliging van netwerk- en informatiesystemen, door
maatregelen te nemen om dergelijke systemen te beschermen tegen systeemstoringen,
menselijke fouten, kwaadwillige handelingen en natuurverschijnselen. Ten aanzien van
de weerbaarheid van de fysieke omgeving van enkel netwerk- en informatiesystemen geldt
dus de Cbw.

Het kan daarnaast voorkomen dat de verplichtingen uit zowel de Wwke als de Cbw gelden
bij een incident of bijna-incident dat gevolgen heeft voor zowel de netwerk- en informatiesystemen
en de fysieke omgeving daarvan, alsook andere fysieke omgevingen of fysieke aspecten
die de essentiële dienstverlening raken. De Cbw beschrijft dan de verplichtingen van
de entiteit ten aanzien van de netwerk- en informatiesystemen en de fysieke omgeving.
Voor de overige (fysieke) aspecten die de essentiële dienstverlening raken is de Wwke
van toepassing. Uiteraard geldt hierbij de uitzondering voor de kritieke entiteiten
in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur,
zoals geregeld in artikel 23 Wwke.

Het uitgangspunt is dat beide wetten zoveel mogelijk op elkaar aansluiten (bijvoorbeeld
wat betreft de zorgplicht en de meldplicht) en de bevoegde autoriteiten van de Wwke
en de Cbw nauw samenwerken en informatie uitwisselen, zodat entiteiten niet met (dubbele)
administratieve lasten te maken krijgen die verder gaan dan nodig is om de doelstellingen
van de Wwke en de Cbw te verwezenlijken. Hierbij kan worden gedacht aan onderlinge
afspraken om zodoende vlot en effectief samen te werken en dubbel werk waar mogelijk
te voorkomen, bijvoorbeeld bij het toezien op de toepassing van de verplichtingen
op grond van de Wwke die raken aan de Cbw. Ten behoeve van deze samenwerking wisselen
de bevoegde autoriteiten de benodigde informatie uit, zoals de door een kritieke entiteit
uitgevoerde risicobeoordeling en genomen maatregelen.

2.4 Verhouding tot de DORA

Het Unierecht over financiële diensten legt een groot aantal financiële entiteiten
vergaande voorschriften op om alle risico’s waarmee zij te maken krijgen, waaronder
operationele risico’s, te beheersen en de bedrijfscontinuïteit te waarborgen.6 Dat juridisch kader is aangevuld met de zogeheten Digital Operational Resilience Act (hierna: DORA).7 Deze verordening is van toepassing op de financiële sector.

De DORA regelt dat een groot aantal financiële entiteiten informatie- en communicatietechnologierisico’s
moeten beheersen, waaronder die over de bescherming van fysieke ICT-infrastructuur.
Aangezien de weerbaarheid van die entiteiten op die manier volledig is gedekt en de
verplichtingen uit de DORA rechtstreeks van toepassing zijn, zijn artikel 11 en de
hoofdstukken III, IV en VI van de CER-richtlijn niet van toepassing op de financiële
entiteiten, bedoeld in artikel 8 CER-richtlijn. Daarom is ter implementatie van het
voorgaande in de Wwke geregeld dat een aantal verplichtingen uit de Wwke niet van
toepassing is op deze entiteiten. Het betreft de verplichting om een risicobeoordeling
uit te voeren (artikel 14 Wwke), de zorgplicht (artikel 15 Wwke), de meldplicht (artikel 17
Wwke), de verplichting om een verbindingsfunctionaris aan te wijzen (artikel 19 Wwke),
de verplichting om de bevoegde autoriteit te informeren over de verlening van essentiële
diensten aan of in zes of meer lidstaten (artikel 20 Wwke) en de verplichting uit
artikel 22 Wwke voor kritieke entiteiten van bijzonder Europees belang. Dat deze verplichtingen
niet van toepassing zijn op de hiervoor bedoelde entiteiten heeft tot gevolg dat de
artikelen 37 tot en met 40 Wwke, over handhaving, ten aanzien van die verplichtingen
niet van toepassing zijn. De andere bepalingen uit de Wwke zijn wel van toepassing
op de financiële entiteiten die als kritieke entiteit zijn geïdentificeerd en aangewezen
in de zin van de Wwke. Zo is op hen wel artikel 10 Wwke, over de ondersteuning aan
kritieke entiteiten, van toepassing.

3. Nationale context

Aanpak vitaal

De diensten die samen de vitale infrastructuur vormen, zijn het fundament waarop de
Nederlandse samenleving draait. Uitval, verstoring of manipulatie van deze diensten
kan grote gevolgen hebben voor het functioneren van de Nederlandse en Europese maatschappij
en economie. In het uiterste geval kan verstoring zelfs een bedreiging vormen voor
de nationale veiligheid.

Nederland kent al enige tijd de zogeheten Aanpak vitaal.8 Dit is beleid ter bescherming van de vitale infrastructuur. De overheid werkt binnen
de Aanpak vitaal voortdurend samen met publieke en private organisaties, om de weerbaarheid
van de vitale infrastructuur te versterken en te beschermen tegen bestaande en nieuwe
bedreigingen en risico’s. De Wwke zal een integraal onderdeel vormen van de Aanpak
vitaal, waarbij geldt dat een aantal aspecten van dit beleid wettelijk wordt verankerd.
Meer specifiek geldt dat het onder dit beleid ontwikkelde vitaalinstrumentarium wordt
ingezet bij het operationaliseren van een aantal verplichtingen uit de CER-richtlijn.

Het bestaand vitaalinstrumentarium

Het vitaalinstrumentarium is bestaand beleid binnen de Aanpak vitaal. Het beschermen
en weerbaar maken van de (nationale) vitale infrastructuur kent een cyclische aanpak
waarbij periodiek wordt beoordeeld of de zienswijze op en bescherming van de vitale
infrastructuur moet worden herzien of aangescherpt (hierna: cyclus vitaal). In de
cyclus vitaal worden de volgende instrumenten toegepast: vitaalbeoordeling, weerbaarheidsanalyse
en actieprogramma.

De cyclus vitaal wordt voor ieder vitaal proces uitgevoerd door de vakminister. Dat
gebeurt minimaal vierjaarlijks middels een herbeoordeling of tussentijds middels een
quickscan (toetsing effectiviteit en waar nodig bijstellen van maatregelen) wanneer de vakminister
of de Minister van Justitie en Veiligheid constateert dat een ontwikkeling, actualiteit
of dreigingsbeeld daartoe aanleiding geeft. De vakministers zijn primair verantwoordelijk
voor de juiste toepassing van het vitaalinstrumentarium in hun sector(en). De Minister
van Justitie en Veiligheid is verantwoordelijk voor het actueel houden van de instrumenten.

Het instrumentarium speelt een belangrijke rol in de vertaling van de CER-richtlijn
naar de Wwke, bijvoorbeeld omdat de analyses behulpzaam zijn om inzicht te krijgen
in de risico’s waar entiteiten die onder de Wwke vallen zich tegen dienen te beschermen.

Het doel van de vitaalbeoordeling is om inzichtelijk te maken welke diensten zo essentieel
zijn voor de Nederlandse samenleving, dat uitval, verstoring of manipulatie daarvan
kan leiden tot ernstige maatschappelijke ontwrichting, ernstige economische schade
of – in het uiterste geval – een bedreiging van de nationale veiligheid. Vervolgens
worden binnen die diensten de entiteiten geïdentificeerd die van belang zijn voor
het leveren van de dienst. De vakminister merkt deze entiteiten in het kader van staand
beleid aan als zogenoemde vitale aanbieder. De aanmerking als vitale aanbieder zal
een goede indicatie geven van het belang van die entiteit, maar de bevoegde autoriteit
(vakminister) zal in het kader van artikel 6 Wwke tot een nieuwe beoordeling moeten
komen van het al dan niet aanwijzen van de entiteit als kritieke entiteit onder de
Wwke.

De weerbaarheidsanalyse dient als instrument om de weerbaarheid van vitale diensten
in kaart te brengen en te beoordelen. De vakminister voert in samenwerking met de
sector een weerbaarheidsanalyse uit voor alle vitale diensten die onder zijn verantwoordelijkheid
vallen. De weerbaarheidsanalyse kent een benadering die is gericht op alle gevaren
en risico’s (all hazard) en is daarmee in lijn met de Wwke. De input hiervoor is onder andere afkomstig van
periodieke risico- en dreigingsanalyses, zoals de Rijksbrede Risicoanalyse Nationale
Veiligheid. Ook sectorale analyses en beelden bieden input voor de weerbaarheidsanalyse.
Binnen de Aanpak vitaal wordt aan de hand van de resultaten uit de weerbaarheidsanalyse
door de vakminister, gezamenlijk met de sector, een actieprogramma opgesteld met daarin
concrete actielijnen om de weerbaarheid te versterken.

4. Gemaakte implementatiekeuzes op hoofdlijnen

In de Wwke zijn op hoofdlijnen de hierna volgende implementatiekeuzes gemaakt.

1. Implementatie in één centrale wet: De CER-richtlijn wordt geïmplementeerd in één centrale wet (de Wet weerbaarheid kritieke
entiteiten) en niet in sectorale wetten, zoals de Wet op het financieel toezicht.
Eén van de redenen hiervoor is dat de CER-richtlijn onderwerpen bevat die alleen in
de CER-richtlijn worden gereguleerd en daardoor niet in sectorale wetten zijn geregeld,
zoals de risicobeoordeling specifiek op het terrein van alle relevante door de natuur
en door de mens veroorzaakte risico’s die de verlening van een essentiële dienst kunnen
verstoren, waaronder risico’s van sectoroverschrijdende of van grensoverschrijdende
aard, natuurrampen en noodsituaties op het gebied van de volksgezondheid. Bovendien
is de sectorale wetgeving in veel gevallen niet geheel soortgelijk aan de bepalingen
hierover uit de CER-richtlijn. Het is wenselijk dat de verplichtingen uit de CER-richtlijn
door de entiteiten uit de verschillende sectoren van de CER-richtlijn uniform worden
toegepast.

2. Verantwoordelijkheid vakminister bij aanwijzing van entiteiten, medeverantwoordelijkheid
Minister van Justitie en Veiligheid: De vakminister is verantwoordelijk voor de toepassing van de Wwke binnen de sectoren
die onder zijn beleidsverantwoordelijkheid vallen. De Minister van Justitie en Veiligheid
is medeverantwoordelijk vanuit zijn rol als coördinerend bewindspersoon voor de bescherming
van de weerbaarheid in Nederland en medeverantwoordelijk voor de nationale veiligheid.
De aanwijzing van entiteiten als kritieke entiteit geschiedt daarom door de vakminister,
na overleg met de Minister van Justitie en Veiligheid (zie artikel 6 Wwke).

3. Aanwijzing Minister van Justitie en Veiligheid als het centrale contactpunt:De Minister van Justitie en Veiligheid is medeverantwoordelijk vanuit zijn rol als
coördinerend bewindspersoon voor de bescherming van de weerbaarheid in Nederland en
medeverantwoordelijk voor de nationale veiligheid. De Minister van Justitie en Veiligheid
wordt daarom aangewezen als het centrale contactpunt voor Nederland (zie artikel 12
Wwke).

4. Sectorale risicobeoordeling door vakminister: Artikel 5 CER-richtlijn verplicht lidstaten tot het uitvoeren van een nationale risicobeoordeling
(«lidstaat-risicobeoordeling»). In de Wwke is ervoor gekozen om deze nationale risicobeoordeling
sectoraal uit te voeren. De verplichting wordt belegd bij de vakminister voor de sectoren
en subsectoren die onder zijn beleidsverantwoordelijkheid vallen (zie artikel 9 Wwke).
Die risicobeoordeling geschiedt na overleg met de Minister van Justitie en Veiligheid,
vanwege zijn medeverantwoordelijkheid vanuit zijn rol als coördinerend bewindspersoon
voor de bescherming van de weerbaarheid in Nederland en zijn medeverantwoordelijkheid
voor de nationale veiligheid. Door de risicobeoordeling sectoraal uit te voeren en
bij de vakminister te beleggen wordt onder meer geborgd dat de beoordeling wordt uitgevoerd
met voldoende inzicht in sectorspecifieke eigenschappen en belangen.

5. Aanwijzing bevoegde autoriteit: In de Wwke is ervoor gekozen om de vakministers aan te wijzen als de bevoegde autoriteit
voor de sectoren en subsectoren die onder hun beleidsverantwoordelijkheid vallen (zie
artikel 8 Wwke). Door de vakminister aan te wijzen als de bevoegde autoriteit wordt
onder meer geborgd dat de in de Wwke opgenomen taken van de bevoegde autoriteit worden
uitgevoerd met voldoende inzicht in sectorspecifieke eigenschappen en belangen.

Voor de duidelijkheid van deze toelichting wordt gebruik gemaakt van de terminologie
«toezichthoudende instantie» enerzijds, wanneer wordt gedoeld op de uitvoering van
toezichtstaken van de bevoegde autoriteit, en «vakminister» anderzijds, wanneer wordt
gedoeld op de andere taken van de bevoegde autoriteit. In de gevallen dat bij de praktische
uitvoering van de Wwke pas duidelijk zal worden wie de taak gaat uitvoeren, wordt
gebruik gemaakt van de terminologie «vakminister en/of toezichthoudende instantie».

5. Hoofdlijnen van de Wwke

In dit hoofdstuk wordt een toelichting gegeven op de belangrijkste onderdelen van
de Wwke. Daarbij wordt ook ingegaan op de beleidskeuzes die daar aan ten grondslag
liggen.

5.1 Sectorale risicobeoordeling

Verplichting uitvoering risicobeoordeling door bevoegde autoriteit

Artikel 9 Wwke verplicht de bevoegde autoriteit (vakminister) tot het uitvoeren van
een risicobeoordeling voor de betrokken sector en subsector. Het doel van de risicobeoordeling
is om in kaart te brengen waar risico’s bestaan of kunnen bestaan die negatieve gevolgen
kunnen hebben voor de verlening van essentiële diensten. De bevoegde autoriteit (vakminister)
houdt met deze resultaten rekening bij het identificeren van kritieke entiteiten.
Daarnaast geeft de informatie uit deze risicobeoordeling kritieke entiteiten richting
en ondersteuning bij het uitvoeren van hun eigen risicobeoordeling en bij het voldoen
aan de zorgplicht.

Lijst van essentiële diensten van de Europese Commissie

De basis voor de uitvoering van de sectorale risicobeoordeling is een door de Europese
Commissie vastgestelde niet-limitatieve lijst van essentiële diensten.9 Lidstaten zijn verplicht om in ieder geval voor deze essentiële diensten een risicobeoordeling
uit te voeren, maar kunnen dit ook doen voor andere essentiële diensten die niet worden
genoemd maar door lidstaten nationaal worden aangewezen. Artikel 9, eerste lid, Wwke
verplicht de bevoegde autoriteit (vakminister) om ook ten aanzien van de sectoren
en subsectoren die op grond van artikel 7, eerste lid, Wwke aanvullend zijn aangewezen,
een risicobeoordeling uit te voeren.

Verplichting van de vakminister

De verplichting tot het periodiek uitvoeren van een risicobeoordeling is in artikel 9
Wwke formeel belegd bij de bevoegde autoriteit en in de praktijk belegd bij de vakminister
die beleidsverantwoordelijk is voor de betreffende sector of subsector. Deze verplichting
wordt in Nederland dus sectoraal ingericht. Door de risicobeoordeling sectoraal uit
te voeren en bij de vakminister te beleggen wordt onder meer geborgd dat de beoordeling
wordt uitgevoerd met voldoende inzicht in sectorspecifieke eigenschappen en belangen.

Uitvoering risicobeoordeling

Bij het uitvoeren van de risicobeoordeling moet de vakminister alle relevante natuurlijke
en door de mens veroorzaakte risico’s die tot een incident zouden kunnen leiden in
aanmerking nemen, zoals ongevallen, natuurrampen en terroristische misdrijven. Verder
houdt de vakminister in ieder geval rekening met de reeds bestaande risicoanalyses
en dreigingsbeelden, zoals de Rijksbrede Risicoanalyse Nationale Veiligheid, het Cybersecuritybeeld
Nederland (CSBN), het Dreigingsbeeld Statelijke Actoren (DBSA) en het Dreigingsbeeld
Terrorisme Nederland (DTN).

De vakministers kunnen de risicobeoordeling uitvoeren door de toepassing van het bestaand
vitaalinstrumentarium uit de Aanpak vitaal. Meer specifiek gaat het om de vitaalbeoordeling
en de weerbaarheidsanalyse. Dit instrumentarium is toegelicht in hoofdstuk 3.

De vitaalbeoordeling heeft als doel om essentiële diensten en kritieke entiteiten
daarbinnen in kaart te brengen. De weerbaarheidsanalyse heeft als doel om de meest
relevante dreigingen en risico’s voor de essentiële diensten in beeld te brengen en
te analyseren hoe weerbaar deze diensten zijn. De vitaalbeoordeling en weerbaarheidsanalyse
samen geven een beeld van de relevante risico’s voor de verlening van essentiële diensten
en ondersteunen kritieke entiteiten bij het uitvoeren van hun risicobeoordeling. De
huidige vitaalbeoordeling en de weerbaarheidsanalyse zullen waar nodig worden aangepast
om beter aan te sluiten op de Wwke.

5.2 Aanwijzing kritieke entiteiten

Inleiding

De Wwke bevat diverse rechten en plichten voor zogeheten kritieke entiteiten. Een
entiteit is pas een kritieke entiteit in de zin van de Wwke als deze entiteit als
zodanig is aangewezen. De aanwijzing geschiedt door de vakminister, na overleg met
de Minister van Justitie en Veiligheid.

Identificatie en aanwijzing van kritieke entiteiten

Entiteiten worden aangewezen als kritieke entiteit als zij voldoen aan de criteria
in artikel 6, eerste lid, Wwke. Het gaat om de volgende criteria: de entiteit verleent
één of meer essentiële diensten, de entiteit is actief op het grondgebied van Nederland,
de kritieke infrastructuur van de entiteit bevindt zich op het grondgebied van Nederland
en een incident zou aanzienlijke verstorende effecten hebben.

Bij de identificatie en aanwijzing van een kritieke entiteit moet de vakminister rekening
houden met de nationale strategie, bedoeld in artikel 13 Wwke, en de resultaten van
de sectorale risicobeoordeling, bedoeld in artikel 9 Wwke. In de nationale strategie
staat een algemene beschrijving van het proces waarmee kritieke entiteiten, aanvullende
sectoren, subsectoren en categorieën van entiteiten worden geïdentificeerd. De sectorale
risicobeoordeling zal worden benut om te beoordelen welke entiteiten voldoen aan voornoemde
criteria om als kritieke entiteit te worden aangewezen. De reeds bestaande vitaalbeoordeling
zal gebruikt worden om dit onderdeel van de sectorale risicobeoordeling uit te voeren.

De invulling van de criteria om te beoordelen wat een aanzienlijk verstorend effect
inhoudt (artikel 6, tweede lid, Wwke) kan per sector en subsector dermate verschillen
dat het van belang is om de sectorspecifieke eigenschappen en belangen hierbij mee
te wegen. De vakminister onderbouwt daarom bij de aanwijzing, al dan niet aan de hand
van de vitaalbeoordeling, hoe de criteria zijn toegepast en hoe tot de identificatie
van de kritieke entiteit is gekomen.

Indien uit de sectorale risicobeoordeling of tussentijdse evaluaties blijkt dat een
kritieke entiteit niet meer voldoet aan de criteria om aangewezen te worden als kritieke
entiteit, zal de vakminister de aanwijzing intrekken.

Gevolgen van de aanwijzing

De aanwijzing als kritieke entiteit heeft tot gevolg dat het bepaalde bij of krachtens
de Wwke over kritieke entiteiten van toepassing is op de aangewezen entiteit. Het
is echter niet zo dat alle verplichtingen uit de Wwke direct na de aanwijzing van
toepassing zijn op de betrokken entiteit. Voor de zorgplicht en de meldplicht geldt
dat deze verplichtingen tien maanden na de aanwijzing als kritieke entiteit van toepassing
zijn op de aangewezen entiteit (zie de artikelen 15, vijfde lid, en 17, zevende lid,
Wwke). Voor de verplichting om een risicobeoordeling uit te voeren geldt dat deze
verplichting negen maanden na de aanwijzing als kritieke entiteit van toepassing is
(zie artikel 14, derde lid, Wwke).

Kritieke entiteit is essentiële entiteit in de zin van de Cbw

Alle entiteiten die als kritieke entiteit in de zin van de Wwke zijn aangewezen, zijn
van rechtswege essentiële entiteit in de zin van de Cbw. Dit is geregeld in artikel 8,
eerste lid, onderdeel i, Cbw. Dit heeft tot gevolg dat vanaf de aanwijzing van een
entiteit als kritieke entiteit, die daarmee tevens essentiële entiteit in de zin van
de Cbw is, de rechten van en plichten voor essentiële entiteiten uit de Cbw van toepassing
zijn op die kritieke entiteit.

Toepassingsbereik

Sommige entiteiten kunnen niet worden aangewezen als kritieke entiteit. Overheidsinstanties
die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare
veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken,
opsporen en vervolgen van strafbare feiten, zijn namelijk van rechtswege uitgesloten
van het toepassingsbereik van de CER-richtlijn. Dit volgt uit artikel 1, zesde lid,
CER-richtlijn. Deze overheidsinstanties vallen dus ook niet onder het toepassingsbereik
van de Wwke.

In artikel 5 Wwke is ter implementatie van artikel 1, zesde lid, CER-richtlijn bepaald
dat de Wwke niet van toepassing is op het Ministerie van Defensie, de Militaire Inlichtingen-
en Veiligheidsdienst, de Algemene Inlichtingen- en Veiligheidsdienst, het openbaar
ministerie, de politie en de veiligheidsregio’s. De Militaire Inlichtingen- en Veiligheidsdienst
en de Algemene Inlichtingen- en Veiligheidsdienst zijn uitgezonderd van het toepassingsbereik
van de Wwke, omdat zij uitsluitend actief zijn op het gebied van de nationale veiligheid.
Dat valt niet onder de reikwijdte van het Unierecht en daarmee ook niet onder de reikwijdte
van de CER-richtlijn. Deze diensten komen een bijzondere rechtspositie toe, anders
dan de bijzondere opsporingsdiensten die hieronder aan de orde komen. Zo hebben zij
een eigen wettelijk regime dat op hen van toepassing is – de Wet op de inlichtingen-
en veiligheidsdiensten 2017 – en zijn aan de hoofden van de diensten zelfstandige
bevoegdheden geattribueerd.

In artikel 5 Wwke is tevens voorzien in de grondslag om bij algemene maatregel van
bestuur (hierna: amvb) andere overheidsinstanties die in hoofdzaak activiteiten uitvoeren
op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving,
van die toepasselijkheid uit te zonderen (onderdeel f). Van deze grondslag zal gebruik
worden gemaakt indien na de inwerkingtreding van de Wwke onverhoopt tot het inzicht
wordt gekomen dat een overheidsinstantie ontbreekt in de opsomming van artikel 5 Wwke.

Aangezien de hiervoor genoemde overheidsinstanties zijn uitgesloten van het toepassingsbereik
van de Wwke, kunnen zij dus ook niet worden aangewezen als kritieke entiteit in de
zin van de Wwke en kunnen de verplichtingen uit de Wwke, zoals de zorgplicht, niet
op hen van toepassing zijn.10 Dit neemt niet weg dat deze overheidsinstanties uiteraard worden geacht passende
en evenredige technische, beveiligings- en organisatorische maatregelen te hebben
genomen om voor hun weerbaarheid te zorgen.

Overheidsinstanties waarvan de activiteiten slechts zijdelings verband houden met
nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving zijn niet
uitgesloten van het toepassingsbereik van de CER-richtlijn en dus ook niet van het
toepassingsbereik van de Wwke.

Voor de bijzondere opsporingsdiensten geldt dat zij ressorteren onder een Minister,
niet zijnde de Minister van Defensie (zie artikel 2 Wet op de bijzondere opsporingsdiensten).
Voor deze diensten geldt dat zij onderdeel zijn van de betreffende ministeries (zie
artikel 9, eerste lid, Wet op de bijzondere opsporingsdiensten). De ministeries waar
de bijzondere opsporingsdiensten onder ressorteren voeren niet in hoofdzaak activiteiten
uit op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving,
met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten (artikel 1,
zesde lid, CER-richtlijn in samenhang met overweging 11 van de CER-richtlijn). Als
die ministeries op grond van de Wwke worden aangewezen als kritieke entiteit, heeft
dat tot gevolg dat de verplichtingen uit de Wwke (waarvan sommige op grond van de
Wwke een ingangsdatum hebben van enkele maanden na de aanwijzing) van toepassing zijn
op deze ministeries en de onderliggende dienstonderdelen, waaronder dus ook de desbetreffende
bijzondere opsporingsdiensten. De bijzondere opsporingsdiensten voeren activiteiten
uit op het gebied van rechtshandhaving, zie de opsomming van hun taken in artikel 3
Wet op de bijzondere opsporingsdiensten. Indien de desbetreffende ministeries worden
aangewezen als kritieke entiteit, zullen tegelijkertijd bij die aanwijzing de activiteiten
die de bijzondere opsporingsdiensten uitvoeren, op grond van artikel 24 Wwke worden
ontheven van de verplichtingen uit de artikelen 14, 15, 17, 19, 20 en 22 Wwke.

5.3 Risicobeoordeling door kritieke entiteiten

Kritieke entiteiten moeten een risicobeoordeling uitvoeren ten aanzien van alle relevante
door de natuur en door de mens veroorzaakte risico’s die de verlening van hun essentiële
dienst of diensten kunnen verstoren. Deze verplichting volgt uit artikel 12 CER-richtlijn
en is geïmplementeerd in artikel 14 Wwke.

Artikel 14, eerste lid, Wwke bevat een opsomming van de risico’s die zij in ieder
geval moeten beoordelen. Daarbij gaat het onder meer om risico’s van sectoroverschrijdende
of van grensoverschrijdende aard, risico’s op ongevallen en risico’s op natuurrampen.

Een risicobeoordeling bestaat uit het proces om potentiële relevante dreigingen, kwetsbaarheden
en gevaren die tot een incident kunnen leiden in kaart te brengen en te analyseren,
en de impact die een incident zou kunnen hebben op de verstoring van een essentiële
dienst in te schatten. Vervolgens moeten kritieke entiteiten indien nodig (aanvullende)
maatregelen nemen in lijn met de risico’s waarmee zij geconfronteerd worden, om incidenten
te voorkomen, te beperken of te beheersen, en om bescherming te bieden of bestand
te zijn tegen, te reageren op of zich aan te passen aan en te herstellen van een incident.

Zoals reeds in paragraaf 2.3 is toegelicht, is het uitgangspunt dat de Wwke en de
Cbw zoveel mogelijk op elkaar aansluiten, zodat entiteiten niet met (dubbele) administratieve
lasten te maken krijgen die verder gaan dan nodig is om de doelstellingen van de Wwke
en de Cbw te verwezenlijken. Hierbij kan in het kader van de risicobeoordeling worden
gedacht aan het – waar mogelijk en effectief – simultaan uitvoeren van zowel de risicobeoordeling
bedoeld onder de Wwke, als de risicobeoordeling bedoeld onder de Cbw.

5.4 Zorgplicht

Inleiding

Kritieke entiteiten moeten passende en evenredige technische, beveiligings- en organisatorische
maatregelen nemen om voor hun weerbaarheid te zorgen. Dit doen zij op basis van de
door de vakminister verstrekte relevante informatie over de risicobeoordeling en op
basis van de resultaten van hun eigen risicobeoordeling. Deze verplichting, ook wel
de zorgplicht genoemd, is opgenomen in artikel 15 Wwke. Uit artikel 4 Wwke volgt dat
de zorgplicht niet ziet op de netwerk- en informatiesystemen van kritieke entiteiten
en de fysieke componenten en omgevingen daarvan. Daar ziet de zorgplicht uit artikel 21
Cbw op. Zie paragraaf 2.3 voor een nadere toelichting hierop.

De weerbaarheid van een kritieke entiteit is het vermogen om een incident te voorkomen,
te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen,
te reageren op of zich aan te passen aan en te herstellen van een incident. Hierbij
gaat het om de bescherming van hun essentiële dienstverlening ten aanzien van alle
dreigingen en gevaren die door mens en natuur veroorzaakt kunnen worden.

Passende en evenredige maatregelen

De maatregelen die kritieke entiteiten op grond van de Wwke moeten nemen, moeten passend
en evenredig zijn in relatie tot de risico’s die zij hebben vastgesteld op basis van
de eigen risicobeoordeling en tegen het licht van de door de vakminister uitgevoerde
risicobeoordeling.

Bij de beoordeling of een maatregel of een combinatie van maatregelen passend is,
wordt allereerst gekeken naar de effectiviteit. De maatregelen moeten één of meer
van de volgende effecten bewerkstelligen: een incident voorkomen en als een incident
zich toch voordoet, de gevolgen beperken door het incident te beheersen, zich aan
te passen aan een incident of daarvan zo spoedig mogelijk te herstellen. In artikel 1
Wwke is een incident gedefinieerd als elke gebeurtenis die het verlenen van een essentiële
dienst aanzienlijk verstoort of kan verstoren. De maatregelen moeten zijn afgestemd
op de risico’s in relatie tot de entiteit en de specifieke context. Een passende maatregel
kan dus per entiteit verschillen, onder meer door de specifieke kenmerken van de entiteit,
de aard van de dienstverlening en de sector waarin de entiteit de dienst verleent.

Daarnaast geldt het vereiste van evenredigheid. Dit betekent dat een maatregel of
coherente set van maatregelen in verhouding dient te staan tot het te beheersen risico.
De entiteit dient daarbij naar behoren rekening te houden met de mate waarin zij aan
risico’s is blootgesteld, evenals de kans dat zich incidenten voordoen en de ernst
ervan, met inbegrip van de maatschappelijke en economische gevolgen. Ook de omvang
van een entiteit kan een rol spelen bij de vraag of maatregelen evenredig zijn. Wat
ook een rol kan spelen bij de evenredigheid van maatregelen, zijn de nadelige effecten
of risico’s van maatregelen, zoals de verstoring van de continuïteit van de kritieke
processen van een entiteit. De omvang van een entiteit of de hoogte van uitvoeringskosten
kan van invloed zijn op de keuze van de te nemen maatregelen, zoals het nemen van
minder ingrijpende maatregelen. Hierbij wordt benadrukt dat een beperkte financiële
capaciteit of een beperkte omvang van een entiteit een entiteit niet kan ontslaan
van de verplichting om de weerbaarheid op orde te hebben. De evenredigheid houdt daarnaast
in dat een maatregel of coherente set van maatregelen het minst belastend is voor
de entiteit om het risico te beheersen.

Als gevolg van de afweging of een maatregel passend en evenredig is, is er een bepaald
niveau van risico dat aanvaardbaar is. Het volledig uitsluiten van risico’s en het
creëren van volledige bescherming is niet mogelijk. Kritieke entiteiten worden daarom
geacht maatregelen te nemen om risico’s te beheersen en de mogelijke gevolgen van
restrisico’s zoveel mogelijk tot een minimum te beperken.

Het is in eerste instantie aan kritieke entiteiten zelf om vast te stellen welke maatregelen
passend en evenredig zijn om de risico’s, waarmee zij geconfronteerd worden, te kunnen
beheersen. Entiteiten hebben immers zelf – mede op basis van onder meer de door de
vakminister uitgevoerde risicobeoordeling en de eigen risicobeoordeling – inzicht
in risico’s die hun dienstverlening kunnen raken en hebben de meeste kennis van hun
eigen systemen en processen. Hoe risicogebaseerd maatregelen te treffen kan onder
andere worden afgeleid uit wat daarover beschreven staat in Europese en internationale
standaarden of normen, evenals door gebruik te maken van de laatste stand van de techniek
voor het treffen van technische maatregelen. Europese en internationale standaarden
en normen kunnen een goede indicatie geven van hoe technische en organisatorische
veiligheids- en beveiligingsmaatregelen te treffen. Het voldoen aan Europese of internationale
standaarden betekent overigens in zichzelf niet dat een entiteit aan de zorgplicht
van artikel 15 Wwke voldoet.

Technische, beveiligings- en organisatorische maatregelen

De technische, beveiligings- en organisatorische maatregelen die kritieke entiteiten
op grond van de zorgplicht uit artikel 15 Wwke moeten nemen, zien zowel op de bescherming
als op de beveiliging. Dit maakt dat, om te voldoen aan de zorgplicht, er sprake kan
zijn van een combinatie van organisatorische, bouwkundige en elektronische maatregelen.
Artikel 15, eerste lid, Wwke bevat een opsomming van de maatregelen die kritieke entiteiten
in ieder geval moeten nemen.

Voor de concrete invulling van die maatregelen is ruimte voor een eigen afweging van
kritieke entiteiten om te bepalen welke precieze maatregelen zij rederlijkwijs moeten
nemen, onder meer op basis van de eigen risicobeoordeling en de afweging van de mate
waarin een maatregel passend en evenredig is. De Europese Commissie zal, na raadpleging
van de Groep voor de weerbaarheid van kritieke entiteiten (Critical Entities Resilience Group), niet-bindende richtsnoeren vaststellen die kunnen helpen bij het nader bepalen van
geschikte technische, beveiligings- en organisatorische maatregelen.11

5.5 Meldplicht

De meldplicht

Kritieke entiteiten moeten op grond van artikel 17 Wwke incidenten die de verlening
van hun essentiële diensten aanzienlijk verstoren of kunnen verstoren zo spoedig mogelijk
melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie),
omdat deze diensten de vitale maatschappelijke functies en de economische activiteiten
in Nederland en de EU in stand houden. Verstoring van een essentiële dienst kan de
vitale maatschappelijke functies en de economische activiteiten negatief beïnvloeden.
Daarom is de melding van incidenten die de verlening van een essentiële dienst aanzienlijk
verstoren of kunnen verstoren, geboden.

De melding moet de bevoegde autoriteit (vakminister en/of toezichthoudende instantie)
in staat stellen om snel en adequaat te kunnen reageren op incidenten en om een volledig
overzicht te krijgen van de impact, aard, oorzaak en mogelijke gevolgen van incidenten.

Een melding van een incident leidt niet tot een verhoogde aansprakelijkheid voor de
kritieke entiteit. Dit volgt uit artikel 15, tweede lid, CER-richtlijn.

De fasen van een melding

De melding bestaat uit twee fasen, te weten een eerste melding en een gedetailleerd
(eind)verslag. Kritieke entiteiten moeten zonder onnodige vertraging binnen 24 uur
een eerste melding doen bij de bevoegde autoriteit (vakminister en/of toezichthoudende
instantie), tenzij de kritieke entiteit hier operationeel niet toe in staat is.

Gegevens

De melding bevat alle op dat moment beschikbare informatie die de bevoegde autoriteit
(vakminister en/of toezichthoudende instantie) nodig heeft om te bepalen wat de aard,
vermoedelijke oorzaak en mogelijke gevolgen van het incident zijn en of er grensoverschrijdende
gevolgen zijn, en de bevoegde autoriteit (vakminister) in staat stelt snel en adequaat
te kunnen reageren op het incident. Daarnaast bevat de melding de contactgegevens
van de functionaris die verantwoordelijk is voor de melding. Het gaat hierbij in elk
geval om een naam, telefoonnummer en e-mailadres van de contactpersoon van de kritieke
entiteit.

De melding zal dus in elk geval persoonsgegevens bevatten. De verwachting is dat veel
meldingen ook vertrouwelijke gegevens zullen bevatten. Vertrouwelijke gegevens zijn
onder meer bedrijfsgeheimen, zoals informatie over de technische bedrijfsvoering van
een entiteit dan wel een essentieel proces, het functioneren van systemen en (productie)processen, propriëtaire technieken en financiële gegevens. Ten aanzien van vertrouwelijke
gegevens kan ook worden gedacht aan concrete informatie over de entiteit die door
een dreiging of incident is getroffen, waarbij verdere verspreiding van die informatie
tot gevolg heeft dat die entiteit daarvan nadeel ondervindt, bijvoorbeeld omdat de
commerciële belangen van de entiteit daardoor worden geschaad. Vertrouwelijke gegevens
kunnen noodzakelijk zijn voor de bevoegde autoriteit (vakminister en/of toezichthoudende
instantie) om te bepalen wat de aard, vermoedelijke oorzaak en mogelijke gevolgen
van het incident zijn en of er grensoverschrijdende gevolgen zijn. Voor de goede orde
wordt hierbij gewezen op artikel 34 Wwke, waarin waarborgen zijn opgenomen ten aanzien
van de verstrekking van vertrouwelijke gegevens.

Drempelwaarden

Om te bepalen of een verstoring aanzienlijk is, zijn in artikel 17, derde lid, Wwke
drie parameters opgenomen. Deze parameters betreffen het aantal door de verstoring
getroffen gebruikers en hun aandeel daarin, de duur van de verstoring en het door
de verstoring getroffen geografische gebied, rekening houdend met de vraag of het
gebied geografisch geïsoleerd is. In artikel 17, vijfde lid, Wwke is bepaald dat bij
of krachtens amvb de criteria worden vastgesteld op basis waarvan wordt bepaald of
sprake is van een aanzienlijke verstoring als bedoeld in artikel 17, derde lid, Wwke,
waarbij onderscheid kan worden gemaakt tussen sectoren, subsectoren, categorieën van
entiteiten en entiteiten. Die criteria staan ook bekend als drempelwaarden. Drempelwaarden
kunnen per sector, subsector, categorie van entiteiten of entiteit verschillen en
kunnen bijvoorbeeld worden uitgedrukt in een bepaald bedrag aan financiële of economische
schade, aantallen betrokken of getroffen personen, of de capaciteitsimpact op de levering
van de essentiële dienst.

De hiervoor bedoelde drempelwaarden zullen worden vastgesteld na overleg met de betrokken
sector. Door het overleg met de betrokken sector kan zoveel mogelijk maatwerk worden
geleverd per sector, subsector, categorie van entiteiten of entiteit. Indien relevant
kan zodoende ook rekening worden gehouden met andere sectorale meldplichten en de
daarvoor geldende criteria, en de criteria die andere vakministers hebben vastgesteld
voor sectoren die raakvlakken hebben met vitale processen van andere departementen.

5.6 Centraal contactpunt

Artikel 9, tweede lid, CER-richtlijn verplicht lidstaten tot het aanwijzen van een
nationaal centraal contactpunt. De Minister van Justitie en Veiligheid is medeverantwoordelijk
vanuit zijn rol als coördinerend bewindspersoon voor de bescherming van de weerbaarheid
in Nederland en medeverantwoordelijk voor de nationale veiligheid. Deze Minister wordt
daarom voor Nederland aangewezen als het centrale contactpunt, bedoeld in de Wwke.
Deze keuze sluit aan bij de gemaakte keuze in het kader van de implementatie van de
NIS2-richtlijn. In de Cbw, waarin de NIS2-richtlijn wordt geïmplementeerd, wordt namelijk
ook de Minister van Justitie en Veiligheid aangewezen als het centrale contactpunt,
bedoeld in de Cbw.

Het centrale contactpunt heeft verschillende taken. Zo heeft het centrale contactpunt
taken in het kader van meldingen van incidenten. Het centrale contactpunt moet de
informatie die het van de bevoegde autoriteit (vakminister) heeft ontvangen over incidenten,
die aanzienlijke gevolgen hebben of kunnen hebben voor kritieke entiteiten en voor
de continuïteit van de verlening van essentiële diensten aan of in één of meer andere
lidstaten, verstrekken aan de centrale contactpunten van andere lidstaten. Ook moet
het centrale contactpunt de gegevens die zij van de bevoegde autoriteit (vakminister)
heeft ontvangen over incidenten, die aanzienlijke gevolgen hebben of kunnen hebben
voor de continuïteit van de verlening van essentiële diensten aan of in zes of meer
lidstaten, doorzetten naar de Europese Commissie. Daarnaast heeft het centrale contactpunt
ook taken die verband houden met de informatie die zij heeft ontvangen van een centraal
contactpunt van een ander lidstaat over een aldaar gemeld incident dat mogelijk aanzienlijke
gevolgen heeft of kan hebben voor kritieke entiteiten in Nederland. Als uit die gegevens
blijkt dat dat incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit
van een essentiële dienst in Nederland, dan moet het centrale contactpunt de betrokken
bevoegde autoriteit (vakminister) en, indien van toepassing, de betrokken entiteit
daarvan op de hoogte stellen. Ten slotte heeft het centrale contactpunt de taak om
te zorgen voor sectoroverstijgende en doeltreffende samenwerking tussen de bevoegde
autoriteiten binnen Nederland, zoals volgt uit artikel 9, eerste lid, CER-richtlijn.
Dit sluit ook aan bij de huidige praktijk. Zo zit het Ministerie van Justitie en Veiligheid
bijvoorbeeld verschillende stuur- en werkgroepen voor met betrekking tot de implementatie
van de CER-richtlijn en bredere vitaal-vraagstukken. Een soortgelijke bepaling is
ook opgenomen bij de taken van het centrale contactpunt onder de Cbw.

5.7 Bevoegde autoriteit

Aanwijzing vakminister als bevoegde autoriteit en uitvoering in de praktijk

In de Wwke is ervoor gekozen om de vakminister aan te wijzen als de bevoegde autoriteit
voor de sectoren en subsectoren die onder zijn beleidsverantwoordelijkheid vallen.
Door de vakminister aan te wijzen als de bevoegde autoriteit wordt onder meer geborgd
dat de in de Wwke opgenomen taken van de bevoegde autoriteit worden uitgevoerd met
voldoende inzicht in sectorspecifieke eigenschappen en belangen.

De bevoegde autoriteit heeft op grond van de Wwke diverse taken. Zo heeft zij onder
meer taken in het kader van het aanwijzen van kritieke entiteiten en de meldingen
van incidenten, maar ook de taak om te zorgen voor het toezicht op de naleving van
verplichtingen. In de praktijk worden de toezichtstaken van de bevoegde autoriteit
uitgevoerd door een ondergeschikt organisatieonderdeel of een niet-ondergeschikte
organisatie dat met toezichtstaken is belast. De andere taken van de bevoegde autoriteit
worden in de praktijk uitgevoerd door de vakminister.

Lijst van kritieke entiteiten

Op grond van artikel 11 Wwke moet de bevoegde autoriteit een lijst van kritieke entiteiten
opstellen. Wanneer dat nodig is en in ieder geval om de vier jaar wordt deze lijst
door de bevoegde autoriteit geëvalueerd en indien nodig geactualiseerd. In de praktijk
worden deze verplichtingen uitgevoerd door de vakminister.

Taken na meldingen van incidenten

Nadat een kritieke entiteit op grond van de Wwke melding heeft gedaan van een incident,
heeft de bevoegde autoriteit (vakminister) op grond van artikel 18 Wwke verschillende
taken. Het gaat hierbij om het sturen van een ontvangstbevestiging, het verstrekken
van relevante vervolginformatie aan de getroffen entiteit, het informeren van het
centrale contactpunt (wanneer bepaalde ernstige incidenten hebben plaatsgevonden)
en het waarschuwen van het publiek over het incident en de mogelijke gevolgen. De
vakminister kan dat laatste alleen doen na raadpleging van de betrokken kritieke entiteit
en als dat in het algemeen belang is.

5.8 Ondersteuning aan kritieke entiteiten

Artikel 10 Wwke verplicht, ter implementatie van artikel 10 CER-richtlijn, de bevoegde
autoriteit (vakminister) om kritieke entiteiten te ondersteunen bij het vergroten
van hun weerbaarheid en bij de naleving van de verplichtingen uit de Wwke. De bevoegde
autoriteiten (vakministers) zijn primair verantwoordelijk voor het bieden van ondersteuning
aan de kritieke entiteiten uit de onder hen vallende sectoren.

De ondersteuning zal in ieder geval bestaan uit het uitwisselen van informatie en
beste praktijken tussen de overheid en kritieke entiteiten, en het faciliteren van
het vrijwillig delen van informatie tussen kritieke entiteiten onderling, over aangelegenheden
die onder de Wwke vallen.12 De ondersteuning kan hierbij bestaan uit het aanbieden van relevante informatie(bronnen)
aan de betreffende entiteiten, het ontwikkelen van richtsnoeren en methodologieën
(bijvoorbeeld voor het doen van een risicobeoordeling), het verlenen van bijstand
in het geval van crisis- of noodsituaties, het helpen bij de organisatie van oefeningen
om de weerbaarheid van de kritieke entiteiten te testen en het verstrekken van advies
en opleiding aan het personeel van kritieke entiteiten.

Bij de aanbieding van informatie gaat het allereerst om relevante informatie die kritieke
entiteiten moet ondersteunen bij het uitvoeren van de eigen risicobeoordeling. Daarnaast
kan informatie worden aangeboden ter ondersteuning van het nemen van weerbaarheidsverhogende
maatregelen als bedoeld in artikel 15 Wwke. Vanuit de Rijksoverheid worden hiertoe
ook relevante informatiebronnen opgesteld, waaronder sectoroverstijgende documenten
als de Rijksbrede Risicoanalyse Nationale Veiligheid en het Dreigingsbeeld Statelijke
Actoren (DBSA). Deze documenten dragen eveneens bij aan het inzicht van kritieke entiteiten
en de risico’s waarmee zij mogelijk geconfronteerd worden. Naast de cyclus vitaal
gebeurt het uitwisselen van informatie bijvoorbeeld ook in overleggen tussen de betrokken
vakministers en desbetreffende sectoren.

Ten behoeve van ondersteuning en bijstand in het geval van crisis- en noodsituaties
zal zoveel mogelijk worden aangesloten bij bestaande internationale, nationale, regionale,
departementale en operationele (crisis)structuren.

5.9 Handhaving

5.9.1 Handhaving van verplichtingen uit Wwke en uitvoeringshandelingen

De Wwke voorziet in de handhaving van de verplichtingen uit de Wwke die gelden voor
kritieke entiteiten. De Wwke voorziet ook in de handhaving van het bepaalde in de
op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen,
voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks
toepasselijk zijn in elke lidstaat. Op deze wijze is geregeld dat bij deze rechtstreeks
toepasselijke en verbindende handelingen op grond van de Wwke direct in toezicht en
handhaving is voorzien.

De op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen
regelen de vaststelling van de technische en methodologische specificaties met betrekking
tot de toepassing van de in artikel 13, eerste lid, CER-richtlijn bedoelde maatregelen.
De laatstgenoemde bepaling is geïmplementeerd in artikel 15 Wwke en gaat over de zorgplicht
voor kritieke entiteiten. Nu de op grond van artikel 13, zesde lid, CER-richtlijn
gestelde technische en methodologische specificaties moeten worden toegepast met betrekking
tot de maatregelen die genomen moeten worden in het kader van de zorgplicht, brengt
dit met zich dat de artikelen over handhaving, die specifiek zien op de zorgplicht
uit de Wwke, ook zien op de handhaving van de op grond van artikel 13, zesde lid,
CER-richtlijn vastgestelde uitvoeringshandelingen.

5.9.2 Bestuursrechtelijke handhaving

De CER-richtlijn schrijft niet voor of de sanctionering van overtredingen van de verplichtingen
die uit de CER-richtlijn voor kritieke entiteiten volgen bestuursrechtelijk of strafrechtelijk
van aard moet zijn. In de Wwke is gekozen voor bestuursrechtelijke handhaving, die
zowel reparatoir als punitief kan zijn (herstelsancties en bestraffende sancties).
De handhaving heeft immers betrekking op kritieke entiteiten die op verschillende
terreinen al te maken hebben met bestuursrechtelijke handhaving. De Wwke sluit aan
bij de al bestaande bevoegdheden en instrumenten van de bestaande handhavende instanties.
Daarnaast is omwille van een zo eenduidig en duidelijk mogelijk handhavingsregime
voor kritieke entiteiten aansluiting gezocht bij de lijn van bestuursrechtelijke handhaving
waarvoor is gekozen bij de implementatie van de NIS1-richtlijn13, de voorganger van de NIS2-richtlijn. Die lijn wordt voortgezet bij de implementatie
van de NIS2-richtlijn.

Het toezicht op de naleving van het bepaalde bij of krachtens de Wwke en van het bepaalde
in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen14 wordt opgedragen aan door de bevoegde autoriteit (vakminister) aangewezen ambtenaren,
zie artikel 36 Wwke. Die aangewezen ambtenaren zijn toezichthouders in de zin van
artikel 5:11 Algemene wet bestuursrecht (hierna: Awb). Dit zijn personen die bij of
krachtens wettelijk voorschrift belast zijn met het houden van toezicht op de naleving
van het bepaalde bij of krachtens enig wettelijk voorschrift. Daarmee beschikken zij
over de bevoegdheden die titel 5.2 Awb aan hen toekent. Zo beschikken zij onder meer
over de bevoegdheid om plaatsen te betreden, met uitzondering van woningen zonder
toestemming van de bewoner (artikel 5:15, eerste lid, Awb), om identificatie van personen
te vorderen (artikel 5:16a Awb) en om inzage te vorderen van zakelijke gegevens en
bescheiden en daarvan kopieën te maken (artikel 5:17 Awb).

5.9.3 Handhavingsinstrumentarium

De Wwke voorziet, ter implementatie van hetgeen de CER-richtlijn hierover bepaalt,
in instrumenten van de bevoegde autoriteit (toezichthoudende instantie) voor het toezicht
op de naleving van het bepaalde bij of krachtens de Wwke en van het bepaalde in de
op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen15. Het handhavingsinstrumentarium ten aanzien van kritieke entiteiten omvat het volgende:

• het verplichten van een audit;

• het opleggen van een aanwijzing;

• het opleggen van een last onder bestuursdwang; en

• het opleggen van een bestuurlijke boete.

In de volgende paragraaf wordt specifiek ingegaan op de bestuurlijke boete. In de
artikelsgewijze toelichting op de artikelen 37, 38 en 39 Wwke wordt achtereenvolgens
ingegaan op de audit, aanwijzing en last onder bestuursdwang.

5.9.4 Bestuurlijke boete

Inleiding

De Wwke voorziet in de bevoegdheid voor de bevoegde autoriteit (toezichthoudende instantie)
om een bestuurlijke boete op te leggen aan kritieke entiteiten.

Boetemaximum overtreding zorgplicht en meldplicht

Voor de hoogte van de bestuurlijke boete schrijft de CER-richtlijn geen maximum voor.
In de Wwke is gekozen voor de volgende maximale hoogte van een boete voor een overtreding
van de zorgplicht of van de meldplicht door een kritieke entiteit: € 10.000.000,–
of 2% van de totale wereldwijde jaaromzet als dat laatste leidt tot een hoger bedrag.
Dit is geregeld in artikel 40, tweede lid, onderdeel a, Wwke. Het hiervoor genoemde
maximum geldt ook voor een overtreding van het bepaalde in de op grond van artikel 13,
zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen, voor zover in die uitvoeringshandelingen
is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk zijn in elke lidstaat.
De reden hiervoor is dat – zoals reeds toegelicht in paragraaf 5.9.1 – de op grond
van artikel 13, zesde lid, CER-richtlijn gestelde technische en methodologische specificaties
moeten worden toegepast met betrekking tot de maatregelen die genomen moeten worden
in het kader van de zorgplicht.

Het hiervoor genoemde boetemaximum zorgt voor voldoende afschrikkende werking. Bovendien
sluit het aan op de maximale hoogte van een op te leggen bestuurlijke boete bij een
overtreding van de zorgplicht of de meldplicht uit de Cbw door een essentiële entiteit
als bedoeld in de Cbw. De aansluiting op de Cbw zorgt in dit kader voor uniformiteit
tussen de nationale wetten waarin de CER-richtlijn en de NIS2-richtlijn zijn geïmplementeerd.
Gelet op de integraliteit en de samenhang tussen de NIS2-richtlijn en de CER-richtlijn
is geen aanleiding gezien om op dit punt te differentiëren. Hierbij speelt ook mee
dat kritieke entiteiten als bedoeld in de Wwke van rechtswege essentiële entiteiten
zijn als bedoeld in de Cbw.

Boetemaximum overtreding medewerkingsplicht

Voor kritieke entiteiten geldt de verplichting uit artikel 5:20 Awb om aan een toezichthouder
binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze
redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden. Voor het boetemaximum
van een bestuurlijke boete voor de overtreding van deze verplichting is gekozen voor
het bedrag van € 1.000.000,–. De reden voor deze keuze is als volgt. Deze maximale
hoogte zorgt ervoor dat de toezichthouder wegens overtreding van artikel 5:20 Awb
een bestuurlijke boete kan opleggen die doeltreffend en afschrikkend is, en staat
in verhouding tot de boetemaxima voor overtredingen van verplichtingen uit de Wwke.
Dit boetemaximum (en dus niet een lager maximum) voorkomt dat een bestuurlijke boete
kan worden opgelegd van slechts geringe hoogte, waardoor kritieke entiteiten bewust
kiezen voor het accepteren van de boete en niet meewerken aan een vordering van de
toezichthouder.

Er wordt niet aangesloten bij de maximale hoogte van de geldboete die op grond van
het strafrecht kan worden opgelegd voor eenzelfde overtreding. Dat betreft een overtreding
van artikel 184 Wetboek van Strafrecht (over het opzettelijk niet voldoen aan een
bevel of vordering van een ambtenaar), waarvoor per 1 januari 2024 het bedrag van
€ 5.150,– geldt als maximum van de geldboete die voor een overtreding daarvan kan
worden opgelegd. Deze hoogte is in het kader van de Wwke niet doeltreffend, niet afschrikkend
en staat ook niet in verhouding tot de boetemaxima voor overtredingen van verplichtingen
uit de Wwke.

Boetemaximum overtreding overige verplichtingen

Bij het bepalen van het maximum van een bestuurlijke boete voor de overtreding van
andere verplichtingen uit de Wwke is ervoor gekozen om niet dezelfde hoogte te hanteren
als bij de overtreding van de zorgplicht en de meldplicht. Dat is niet evenredig in
verhouding tot de aard van die andere overtredingen. Daarom wordt ook in dit kader
aangesloten bij de gekozen hoogte zoals die ook geldt in de Cbw. Dat betreft een voortzetting
van de gekozen lijn in het kader van de implementatie van de NIS1-richtlijn (de voorganger
van de NIS2-richtlijn) in nationale wet- en regelgeving. Hierbij is toegelicht dat
een boetemaximum van € 1.000.000,– de sectorale toezichthoudende instantie die uit
hoofde van bestaande wetgeving al bevoegd is om een bestuurlijke boete op te leggen,
de ruimte biedt om bij de bepaling van de boetebedragen aan te sluiten bij de boetehoogtes
die in die sector passend zijn.16

Motivering bestuurlijke boete en hoogte daarvan

Voor de goede orde wordt benadrukt dat het gaat om maximale hoogten van de op te leggen
bestuurlijke boeten; de bevoegde autoriteit (toezichthoudende instantie) kan uiteraard
ook besluiten tot het opleggen van een bestuurlijke boete van een lager bedrag.

De bevoegde autoriteit (toezichthoudende instantie) moet de beslissing om over te
gaan tot het opleggen van een bestuurlijke boete en de hoogte daarvan afstemmen op
de ernst van de overtreding en de mate waarin deze aan de overtreder kan worden verweten
en daarbij zo nodig rekening houden met de omstandigheden waaronder de overtreding
is gepleegd (artikel 5:46, tweede lid, Awb). Artikel 5:41 Awb bepaalt dat er geen
bestuurlijke boete wordt opgelegd voor zover de overtreding niet aan de overtreder
kan worden verweten. Artikel 3:4 Awb is onverkort van toepassing bij het opleggen
van de bestuurlijke boete door de bevoegde autoriteit (toezichthoudende instantie).

Geen bestuurlijke boete

Een overtreding van de verplichting voor kritieke entiteiten van bijzonder Europees
belang om rekening te houden met een advies van een adviesmissie van de Europese Commissie
bij het treffen van weerbaarheidsverhogende maatregelen, opgenomen in artikel 22 Wwke,
kan niet worden gesanctioneerd met een bestuurlijke boete. De reden hiervoor is dat
het sanctioneren van deze verplichting met een bestuurlijke boete enkel evenredig
wordt geacht indien de bevoegde autoriteit (toezichthoudende instantie), net als de
Europese Commissie, zelf tot het oordeel komt dat door het niet rekening houden met
het advies van een adviesmissie, de weerbaarheid in het kader van de zorgplicht in
het geding komt. Een dergelijke beoordeling zal de bevoegde autoriteit (toezichthoudende
instantie) maken bij het toezien op de naleving van de zorgplicht. In dat kader kan
via deze route een bestuurlijke boete worden opgelegd. Wel kan de bevoegde autoriteit
(toezichthoudende instantie) een last onder bestuursdwang of een last onder dwangsom
opleggen als een kritieke entiteit niet heeft aangetoond dat met het advies rekening
is gehouden. De kritieke entiteit moet dus in elk geval motiveren waarom het advies
al dan niet is opgevolgd.

5.9.5 Overtrederschap

In artikel 5:1, eerste lid, Awb is bepaald dat in de Awb wordt verstaan onder een
overtreding: een gedraging die in strijd is met het bepaalde bij of krachtens enig
wettelijk voorschrift. In artikel 5:1, tweede lid, Awb is bepaald dat onder overtreder
wordt verstaan: degene die de overtreding pleegt of medepleegt. Artikel 5:1, derde
lid, Awb bepaalt dat overtredingen kunnen worden begaan door natuurlijke personen
en rechtspersonen en dat artikel 51, tweede en derde lid, Wetboek van Strafrecht van
overeenkomstige toepassing is. Artikel 51, tweede lid, Wetboek van Strafrecht bepaalt
dat indien een strafbaar feit wordt begaan door een rechtspersoon, de strafvervolging
kan worden ingesteld en de in de wet voorziene straffen en maatregelen kunnen worden
uitgesproken tegen die rechtspersoon, dan wel tegen de opdrachtgever of feitelijk
leidinggevende, dan wel tegen de hiervoor genoemden tezamen. In artikel 51, derde
lid, Wetboek van Strafrecht wordt voor de toepassing van het tweede lid met de rechtspersonen
gelijkgesteld: de vennootschap zonder rechtspersoonlijkheid, de maatschap, de rederij
en het doelvermogen.

Door de schakelbepaling in artikel 5:1, derde lid, Awb is het mogelijk om in het geval
dat een overtreding is gepleegd of medegepleegd door een rechtspersoon, een bestuurlijke
boete of een last onder bestuursdwang of dwangsom op te leggen aan degenen die tot
de door de rechtspersoon begane overtreding opdracht hebben gegeven of daaraan feitelijk
leiding hebben gegeven. De bevoegde autoriteit (toezichthoudende instantie) kan bij
een overtreding van een verplichting uit de Wwke dus handhavend optreden tegen de
entiteit die de overtreding begaat, maar ook tegen degenen die worden aangemerkt als
opdrachtgever van de door de entiteit begane overtreding en degenen die feitelijke
leiding hebben gegeven aan de verboden gedraging.17 Dit kunnen zowel natuurlijke personen als rechtspersonen zijn. Bij dat laatste kan
bijvoorbeeld gedacht worden aan een moedermaatschappij die als feitelijke leidinggevende
of opdrachtgever kwalificeert voor een overtreding bij een dochteronderneming.

5.9.6 Samenwerking toezichthoudende instanties

In de Wwke wordt het toezicht vormgegeven langs de lijnen van de ministeriële verantwoordelijkheden
voor de sectoren. Het is niet uit te sluiten dat een kritieke entiteit actief is binnen
meerdere sectoren en daarmee mogelijk te maken krijgt met meerdere toezichthoudende
instanties. Het is noodzakelijk dat deze instanties met elkaar samenwerken in het
belang van doelmatig en doeltreffend toezicht op de Wwke.

Toezichthoudende instanties werken op grond van artikel 25 Wwke zoveel mogelijk samen
bij het (onderling gecoördineerd) toezicht houden op kritieke entiteiten. Zij wisselen
daartoe onderling alle daarvoor noodzakelijke gegevens uit, waaronder persoonsgegevens.
Hierbij kan gedacht worden aan het onderling uitwisselen van toezichtsinformatie en
-bevindingen. In het bijzonder in gevallen waarbij meerdere toezichthoudende instanties
onder de Wwke toezicht houden op eenzelfde entiteit is het vanuit het belang van doeltreffend
en doelmatig toezicht en het beperken van toezichtslasten gewezen om deze informatie
uit te wisselen.

Om de doeltreffende en doelmatige uitvoering van de Wwke te borgen, moeten de toezichthoudende
instanties onderling afspraken maken over gemeenschappelijke aangelegenheden. Hierbij
wordt gedacht aan afspraken over samenloop van toezicht op eenzelfde entiteit, het
voorkomen van onevenredige toezichtslasten en de uitwisseling van gegevens. Het heeft
daarbij de voorkeur dat deze afspraken worden vastgelegd in een samenwerkafspraak
of een vergelijkbaar instrument en dat deze wordt gepubliceerd. Dit zorgt voor transparantie
over de gemaakte afspraken en maakt voor entiteiten die onder toezicht staan helder
op welke wijze de toezichthoudende instanties invulling geven aan voorgenoemde aspecten.

5.10 Toepassing in Caribisch deel van het Koninkrijk

De CER-richtlijn is alleen van toepassing op Europees Nederland. De openbare lichamen
Bonaire, Sint Eustatius en Saba (BES) hebben de zogeheten LGO-status (landen en gebieden
overzee, artikel 299, derde lid, en bijlage II van het Verdrag tot oprichting van
de Europese Economische Gemeenschap) en maken geen deel uit van de EU. Nu de CER-richtlijn
wordt geïmplementeerd via een voor Europees Nederland geldende implementatiewet dient
in het kader van het principe van comply or explain wel te worden bezien of en hoe de Wwke van toepassing moet worden verklaard voor
Caribisch Nederland.

Hierna wordt toegelicht waarom er op dit moment nog geen wetgeving komt voor Caribisch
Nederland vergelijkbaar met de Wwke. De onderwerpen die in de CER-richtlijn worden
geregeld, zijn op dit moment nog niet uitvoerbaar in Caribisch Nederland voor onder
meer de openbare lichamen. Er wordt op dit moment nog uitvoering gegeven aan een aantal
randvoorwaarden voor het versterken van de weerbaarheid op de BES. In het kader van
de Veiligheidsstrategie van het Koninkrijk wordt gewerkt aan het in kaart brengen
welke processen op de BES mogelijk maatschappelijk ontwrichtende effecten hebben,
zodat duidelijk is welke processen betere bescherming behoeven. Het is denkbaar dat
vanuit de uitvoering van deze randvoorwaarden in de toekomst (sectorale) wetgeving
voortvloeit waarmee de bescherming van bepaalde infrastructuur in Caribisch Nederland
tegen fysieke risico’s wordt gewaarborgd.

5.11 Rechtsbescherming en vereisten aan besluiten

Besluiten in de zin van artikel 1:3 Awb

De Wwke voorziet in de grondslag voor diverse besluiten in de zin van artikel 1:3
Awb. Een voorbeeld van een dergelijk besluit is de aanwijzing, bij regeling of besluit,
van een entiteit als kritieke entiteit. Een ander voorbeeld is een besluit van de
bevoegde autoriteit (toezichthoudende instantie) inhoudende de oplegging van een bestuurlijke
boete.

Awb en algemene beginselen van behoorlijk bestuur

Bij de voorbereiding van besluiten gelden de regels hierover in de Awb en de algemene
beginselen van behoorlijk bestuur. Zo moet bij de voorbereiding van een besluit de
nodige kennis worden vergaard over de relevante feiten en de af te wegen belangen
(artikel 3:2 Awb). De bij het besluit betrokken belangen moeten worden afgewogen (artikel 3:4,
eerste lid, Awb). Verder mogen de voor één of meer belanghebbenden nadelige gevolgen
van het besluit niet onevenredig zijn in verhouding tot de met het besluit te dienen
doelen (artikel 3:4, tweede lid, Awb). Het besluit moet berusten op een deugdelijke
motivering (motiveringsbeginsel, artikel 3:46 Awb). Het voorgaande is een niet-limitatief
overzicht van enkele regels uit de Awb.

Bestuursrechtelijke rechtsbescherming

Tegen de op grond van de Wwke genomen besluiten in de zin van artikel 1:3 Awb staat
bestuursrechtelijke rechtsbescherming open. Belanghebbenden in de zin van artikel 1:2
Awb (zoals entiteiten die op grond van de Wwke een bestuurlijke boete opgelegd hebben
gekregen) kunnen tegen die besluiten achtereenvolgens in bezwaar bij het bestuursorgaan
dat het besluit heeft genomen en in beroep en hoger beroep bij de bestuursrechter.

Voorbeelden

Het voorgaande levert de volgende voorbeelden op (niet-limitatief):

• Als de bevoegde autoriteit (toezichthoudende instantie) overweegt om aan een kritieke
entiteit een aanwijzing op te leggen, moet zij daarbij alle bij dat besluit relevante
belangen afwegen. Als de bevoegde autoriteit (toezichthoudende instantie) na afweging
toch overgaat tot het opleggen van een aanwijzing, kan de betrokken kritieke entiteit
daartegen in bezwaar bij de bevoegde autoriteit en in beroep en hoger beroep bij de
bestuursrechter.

• Als de bevoegde autoriteit (toezichthoudende instantie) overweegt om een last onder
dwangsom op te leggen aan een kritieke entiteit, moet zij nagaan of de nadelige gevolgen
van de last niet onevenredig zijn in verhouding tot de met het besluit te dienen doelen.
Als wel sprake blijkt te zijn van onevenredigheid, moet de bevoegde autoriteit nagaan
of een lichtere maatregel kan volstaan.

6. Verhouding tot hoger recht

6.1 Inleiding

De regels uit de Wwke kunnen raken aan de rechten en vrijheden die zijn vastgelegd
in het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele
vrijheden (hierna: EVRM), het Handvest van de grondrechten van de Europese Unie, het
Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR) en de Grondwet.
De gevolgen die de Wwke met zich meebrengen vloeien voort uit de CER-richtlijn waarbij
de afwegingen ten aanzien van deze vrijheden door de Europese wetgever zijn gemaakt.
Gelet op het belang van deze rechten en vrijheden wordt in dit hoofdstuk (in paragraaf 6.3)
ingegaan op het in artikel 8 EVRM opgenomen recht op eerbiediging van de persoonlijke
levenssfeer. Ook wordt in dit hoofdstuk (in paragraaf 6.4) ingegaan op de verwerking
van persoonsgegevens in het licht van de artikelen 5 (beginselen inzake verwerking
van persoonsgegevens) en 6 (rechtmatigheid van de verwerking) Algemene verordening
gegevensbescherming (hierna: Avg). Voordat die besprekingen plaatsvinden, volgt eerst
in paragraaf 6.2 een overzicht van de gegevensverwerkingen door de bevoegde autoriteit
en het centrale contactpunt.

6.2 Gegevensverwerkingen

Bevoegde autoriteit

Op grond van artikel 17 Wwke moeten kritieke entiteiten bepaalde incidenten melden
bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie). Hierdoor
krijgt de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) de beschikking
over informatie die entiteiten verstrekken bij deze meldingen, waaronder persoonsgegevens.
Meer concreet gaat het dan om de contactgegevens (zoals een e-mailadres en een telefoonnummer)
van de medewerker die namens de entiteit een melding doet. Gelet op de aard van de
incidenten die moeten worden gemeld (fysieke incidenten, zoals ongevallen en natuurrampen)
gaat het naar verwachting niet om grote hoeveelheden persoonsgegevens die worden aangeboden
bij meldingen door kritieke entiteiten.

De bevoegde autoriteit (vakminister en/of toezichthoudende instantie) verwerkt als
gevolg van de Wwke ook via andere wegen (persoons)gegevens. Zo verwerkt zij contactgegevens
van medewerkers van kritieke entiteiten die voor de bevoegde autoriteit (vakminister)
als contactpersoon fungeren. Verder kan bij de aanwijzing van een entiteit als kritieke
entiteit persoonsgegevensverwerking plaatsvinden. Meer concreet kan het dan gaan om
contactgegevens van een medewerker van de aangewezen kritieke entiteit. Ook in het
kader van het uitvoeren van een risicobeoordeling door de bevoegde autoriteit (vakminister)
kan persoonsgegevensverwerking plaatsvinden. Artikel 9, zesde lid, Wwke bepaalt namelijk
dat de bevoegde autoriteit (vakminister) relevante informatie uit de risicobeoordeling
aan de kritieke entiteit in de betrokken sector moet verstrekken. Bij het delen van
de resultaten van de risicobeoordeling door de bevoegde autoriteit (vakminister) worden
naar verwachting persoonsgegevens verwerkt, in ieder geval de contactgegevens van
de contactpersoon van de kritieke entiteit voor het delen van de resultaten van de
risicobeoordeling, en mogelijk ook de contactgegevens van een ambtenaar van de bevoegde
autoriteit (vakminister).

Verder volgt uit de artikelen 26 tot en met 28 Wwke dat de bevoegde autoriteiten samenwerken
en gegevens uitwisselen met de bevoegde autoriteiten in de zin van de Cbw, het centrale
contactpunt en andere nationale autoriteiten. Deze informatie kan voor zover noodzakelijk
persoonsgegevens bevatten.

Daarnaast werken de bevoegde autoriteiten in de zin van de Wwke samen met de bevoegde
autoriteiten van derde landen en kan er ook in dat kader informatie, waaronder persoonsgegevens,
uitgewisseld worden (zie artikel 29 Wwke). Het zal dan voornamelijk gaan om contactgegevens
van medewerkers. Daarvoor geldt dat naast de met artikel 29 Wwke vervatte grondslag
voor het kunnen verstrekken van persoonsgegevens, die voor rechtmatige verwerking
in elk geval wordt vereist, op grond van de Avg ook nog specifieke eisen van toepassing
zijn voor verstrekkingen aan landen buiten de EU, waarvoor de Avg immers niet geldt.
Voor die verstrekkingen zal er op basis hiervan sprake moeten zijn van een adequaatheidsbesluit
van de Europese Commissie, waaruit blijkt dat het betreffende derde land een passend
beschermingsniveau heeft, of van bijvoorbeeld een ander in artikel 46 Avg genoemd
juridisch instrument (bijvoorbeeld een verdrag of anderszins afdwingbaar document)
waaruit ten aanzien van het derde land blijkt van passende waarborgen. Mocht van beide
geen sprake zijn, dan kan een doorgifte plaatsvinden in enkele in artikel 49 Avg genoemde
situaties.

Centraal contactpunt

Op grond van de Wwke heeft het centrale contactpunt onder meer de taak om een verbindingsfunctie
te vervullen met de centrale contactpunten van andere lidstaten en om samen te werken
met de bevoegde autoriteiten van derde landen. In dat kader kan het centrale contactpunt
gegevens ontvangen en verstrekken, waaronder persoonsgegevens. Zo ontvangt het centrale
contactpunt informatie van de bevoegde autoriteit (vakminister en/of toezichthoudende
instantie), die het centrale contactpunt moet doorzetten naar de centrale contactpunten
van andere lidstaten. Die informatie kan bijvoorbeeld gaan over gemelde incidenten
met (mogelijke) aanzienlijke gevolgen voor kritieke entiteiten en voor de continuïteit
van de verlening van essentiële diensten aan of in één of meer andere lidstaten (zie
artikel 18, vierde lid, Wwke).

Verder ontvangt het centrale contactpunt ook zulke gegevens van de centrale contactpunten
van andere lidstaten. Als blijkt uit gegevens die het centrale contactpunt heeft ontvangen
van een ander centraal contactpunt dat een daar gemeld incident aanzienlijke gevolgen
heeft of kan hebben voor de kritieke entiteiten wordt de betrokken bevoegde autoriteit
(vakminister) en kritieke entiteit daarvan op de hoogte gesteld (artikel 18, zesde
lid, Wwke). Bij de uitoefening van deze taken worden gegevens, waaronder persoonsgegevens,
verwerkt. De artikelen 26 en 31 Wwke bieden hiervoor de grondslagen. Meer concreet
gaat het in elk geval om de contactgegevens van de medewerkers van de centrale contactpunten
van andere lidstaten. Ook kan het gaan om de bij meldingen van incidenten bijgevoegde
persoonsgegevens, zoals een naam, e-mailadres en telefoonnummer van de contactpersoon
die de melding doet. Als het voor de samenwerking of taakuitoefening van het centrale
contactpunt nodig is om informatie, waaronder persoonsgegevens, te verstrekken aan
de Europese Commissie, dan is hiervoor een grondslag opgenomen in artikel 31 Wwke.
Het zal dan voornamelijk gaan om het delen van contactgegevens van medewerkers.

Het centrale contactpunt kan ook met de bevoegde autoriteit (vakminister en/of toezichthoudende
instantie) informatie uitwisselen voor de doelmatige uitvoering van de taken uit hoofde
van de Wwke. Die informatie kan ook bestaan uit persoonsgegevens. Artikel 26 Wwke
biedt daarvoor een grondslag.

Over de verstrekking van persoonsgegevens aan de bevoegde autoriteiten van derde landen
wordt het volgende opgemerkt. Naast een wettelijke grondslag voor het kunnen verstrekken
van persoonsgegevens, die voor rechtmatige verwerking in elk geval wordt vereist,
zijn op grond van de Avg ook nog specifieke eisen van toepassing voor verstrekkingen
aan landen buiten de EU, waarvoor de Avg immers niet geldt. Voor die verstrekkingen
zal er op basis hiervan sprake moeten zijn van een adequaatheidsbesluit van de Europese
Commissie, waaruit blijkt dat het betreffende derde land een passend beschermingsniveau
heeft, of van bijvoorbeeld een ander in artikel 46 Avg genoemd juridisch instrument
(bijvoorbeeld een verdrag of anderszins afdwingbaar document) waaruit ten aanzien
van het derde land blijkt van passende waarborgen. Mocht van beide geen sprake zijn,
dan kan een doorgifte plaatsvinden in enkele in artikel 49 Avg genoemde situaties.

6.3 EVRM

6.3.1 Inmenging door openbaar gezag in recht op respect voor de persoonlijke levenssfeer

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende
instantie) en het centrale contactpunt is een inmenging door het openbaar gezag in
het recht op respect voor de persoonlijke levenssfeer. Dit recht is niet alleen gecodificeerd
in het EVRM (artikel 8), maar ook in de artikelen 10 van de Grondwet, 17 van het Internationaal
Verdrag inzake burgerrechten en politieke rechten (IVBPR) en 7 van het Handvest van
de grondrechten van de Europese Unie (Handvest). Artikel 8 van het Handvest ziet specifiek
op het recht van een ieder op de bescherming van zijn persoonsgegevens.

Artikel 8, eerste lid, EVRM bepaalt dat eenieder recht heeft op respect voor zijn
privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. Het
tweede lid van dat artikel staat inmenging in dit recht alleen toe voor zover die
inmenging bij wet is voorzien en in een democratische samenleving noodzakelijk is
in het belang van de nationale veiligheid, de openbare veiligheid of het economisch
welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming
van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden
van anderen. Het noodzaakcriterium wordt in de jurisprudentie van het Europese Hof
voor de rechten van de mens (hierna: EHRM) nader ingevuld met de vereisten van een
dringende maatschappelijke behoefte, en specifiek proportionaliteit en subsidiariteit.18

6.3.2 Beperkende maatregel voorzien bij wet

In artikel 8, tweede lid, EVRM is bepaald dat inmenging in het recht op respect voor
de persoonlijke levenssfeer alleen toegestaan is voor zover die inmenging bij wet
is voorzien en in een democratische samenleving noodzakelijk is in het belang van
de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het
land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de
gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van
anderen. In dit verband wordt opgemerkt dat in artikel 10 Grondwet is bepaald dat
het recht op eerbiediging van de persoonlijke levenssfeer alleen kan worden beperkt
bij of krachtens de wet. De Grondwet vereist dus een formeel-wettelijke grondslag.
Het EVRM vereist niet zozeer een formeel-wettelijke grondslag, maar een voorziening
bij wet.

Ten aanzien van de Grondwet wordt tevens opgemerkt dat in artikel 10, tweede lid,
Grondwet is bepaald dat de wet regels stelt ter bescherming van de persoonlijke levenssfeer
in verband met het vastleggen en verstrekken van persoonsgegevens. De vastlegging
van persoonsgegevens wordt in vergaande mate gereguleerd door het Unierecht, in het
bijzonder door de Avg. In paragraaf 6.4 wordt dit wetsvoorstel getoetst aan de Avg.

De Wwke bevat specifieke wettelijke grondslagen voor de verwerking van persoonsgegevens
door het centrale contactpunt en de bevoegde autoriteit (vakminister en toezichthoudende
instantie). Zie de artikelen 25 tot en met 31 Wwke.

6.3.3 Beperking moet legitiem doel dienen en noodzakelijk zijn

Artikel 8, tweede lid, EVRM, bepaalt dat inmenging in het recht op respect voor het
privéleven uitsluitend is toegestaan binnen de kaders van de expliciet en limitatief
in dat lid opgesomde belangen: de nationale veiligheid, de openbare veiligheid of
het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare
feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming
van de rechten en vrijheden van anderen.

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende
instantie) en het centrale contactpunt dient ter uitvoering van hun taken uit de Wwke,
die volgen uit de CER-richtlijn. Deze taken hebben tot doel om de weerbaarheid van
kritieke entiteiten en het vermogen van die entiteiten om essentiële diensten te verlenen,
te versterken, met het oog op het in stand houden van vitale maatschappelijke functies
of economische activiteiten. Deze verwerkingen dienen dus onder meer de nationale
veiligheid, de openbare veiligheid en het economisch welzijn van het land. Deze belangen
zijn genoemd in artikel 8, tweede lid, EVRM.

De beperking dient bovendien noodzakelijk te zijn in een democratische samenleving.
Het noodzaakcriterium wordt in de jurisprudentie van het EHRM nader ingevuld met de
vereisten van een dringende maatschappelijke behoefte, proportionaliteit en subsidiariteit.
Deze vereisten worden in de hierna volgende paragrafen nader behandeld. Staten moeten
redenen aandragen die voldoende en relevant zijn en hebben daarbij een eigen beoordelingsruimte.

6.3.3.1 Dringende maatschappelijke behoefte

De dringende maatschappelijke behoefte van de verwerking van persoonsgegevens door
de bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale
contactpunt is gelegen in de grote afhankelijkheid van de samenleving van essentiële
diensten. Incidenten die de continuïteit van de verlening van essentiële diensten
aantasten, kunnen een grote impact hebben op Nederland, maar ook daar buiten. Het
waarborgen van de fysieke weerbaarheid van de entiteiten die deze essentiële diensten
aanbieden is van groot belang voor het behoud van vitale maatschappelijke functies
en het voorkomen van maatschappelijke ontwrichting. Door het verwerken van persoonsgegevens,
zoals de verwerking door de bevoegde autoriteit (vakminister en toezichthoudende instantie)
in het kader van incidenten die zorgen voor een aanzienlijke verstoring van de verlening
van essentiële diensten, kan grote maatschappelijke ontwrichting worden voorkomen.
Door de verwerking kan de bevoegde autoriteit (vakminister en toezichthoudende instantie)
immers de melder van een incident voorzien van relevante vervolginformatie. Ook kan
zij andere lidstaten informeren en het publiek waarschuwen.

Ook ten aanzien van de verwerking van persoonsgegevens door het centrale contactpunt
geldt dat daarmee grote maatschappelijke ontwrichting binnen en buiten Nederland kan
worden voorkomen. Het centrale contactpunt kan zonder persoonsgegevens immers niet
de verbindingsfunctie met andere lidstaten en de Europese Commissie vervullen. Het
niet vervullen van die functie kan enerzijds ervoor zorgen dat Nederland geen informatie
meer ontvangt van incidenten in andere lidstaten, maar andersom ook dat Nederland
andere lidstaten en de Europese Commissie niet kan waarschuwen voor incidenten, met
alle gevolgen van dien.

6.3.3.2 Proportionaliteit

Bevoegde autoriteit

De bevoegde autoriteit (vakminister en toezichthoudende instantie) zal in het kader
van de in de Wwke opgenomen taken persoonsgegevens verwerken, maar gelet op de aard
ervan (doorgaans contactgegevens van melders), het doel waarvoor die gegevens worden
verwerkt en de overige waarborgen waarmee deze gegevens zijn omkleed, is de inmenging
in het recht op respect voor iemands privéleven beperkt. De betrokken gegevens worden
door de bevoegde autoriteit (vakminister en toezichthoudende instantie) bovendien
verwerkt met inachtneming van de Avg (zie paragraaf 6.4), onder intern toezicht van
de functionaris gegevensbescherming en onder extern toezicht van de Autoriteit persoonsgegevens.

De bevoegde autoriteit (vakminister en toezichthoudende instantie) verwerkt slechts
gegevens voor zover dat noodzakelijk is voor het uitvoeren van de in artikel 8 Wwke
bedoelde taken. Dit is in lijn met het doelbindingsbeginsel, waar het EHRM aan toetst
in zijn rechtspraak.19 Doelbinding is ook een vereiste op grond van artikel 5, eerste lid, onderdeel b,
Avg.

Persoonsgegevens die de bevoegde autoriteit (vakminister en toezichthoudende instantie)
verwerkt ten behoeve van haar taken worden bovendien niet langer bewaard dan noodzakelijk,
in verband met het vereiste van opslagbeperking, waar het EHRM aan toetst in zijn
rechtspraak20, dat bovendien ook een vereiste is op grond van artikel 5, eerste lid, onderdeel
e, Avg. De contactgegevens van de melder worden na de afhandeling van de melding van
het incident vernietigd. Ook na enige tijd moet nog contact kunnen worden gezocht
met de melder, bijvoorbeeld voor de opvolging na de melding alsmede voor ondersteuning
door de bevoegde autoriteit (vakminister). De contactgegevens van de verbindingsfunctionaris
die kritieke entiteiten aanwijzen als contactpunt voor de bevoegde autoriteiten (vakminister
en toezichthoudende instantie) worden bewaard gedurende de tijd dat betreffende functionaris
is aangesteld. De verbindingsfunctionaris is niet noodzakelijkerwijs de melder. Indien
er sprake is van een wijziging van de verbindingsfunctionaris, worden de persoonsgegevens
door de bevoegde autoriteit (vakminister en toezichthoudende instantie) vernietigd.

Centraal contactpunt

Het centrale contactpunt zal bij het uitoefenen van zijn taken persoonsgegevens verwerken.
Daarbij kan het gaan om het ontvangen van persoonsgegevens. Meer specifiek kan het gaan om de persoonsgegevens die door
de bevoegde autoriteit (vakminister of toezichthoudende instantie) aan het centrale
contactpunt zijn gestuurd in het kader van een bij haar gedane melding van een incident.
Daarnaast betreft het de ontvangst van gegevens, waaronder persoonsgegevens, van de
centrale contactpunten van andere lidstaten, zoals de contactgegevens van de medewerkers
van die contactpunten. Bij die ontvangen persoonsgegevens zal het centrale contactpunt
telkens bekijken of het, met het oog op de taken van het centrale contactpunt uit
de Wwke, nodig is die te bewaren, en zo ja, voor hoe lang. Dit is in lijn met het
vereiste van opslagbeperking, waar het EHRM aan toetst in zijn rechtspraak.21 Dit is ook een vereiste op grond van artikel 5, eerste lid, onderdeel e, Avg.

Het kan ook gaan om het verstrekken van persoonsgegevens, namelijk bij het verstrekken van die gegevens aan de centrale
contactpunten van andere lidstaten. Het centrale contactpunt zal telkens de afweging
maken of het nodig is om persoonsgegevens mee te sturen. Dit is in lijn met het vereiste
van minimale gegevensverwerking, waar het EHRM aan toetst in zijn rechtspraak.22 Het vereiste van minimale gegevensverwerking is ook een vereiste op grond van artikel 5,
eerste lid, onderdeel c, Avg.

6.3.3.3 Subsidiariteit

Bevoegde autoriteit

De bevoegde autoriteit (vakminister en/of toezichthoudende instantie) kan haar taken
uit de Wwke niet uitoefenen wanneer zij niet zou beschikken over de persoonsgegevens
die deel uitmaken van meldingen van incidenten. De bevoegde autoriteit kan deze gegevens,
zoals e-mailadressen en telefoonnummers van melders, niet op een andere wijze verkrijgen,
terwijl deze informatie wel noodzakelijk is om gevolg te kunnen geven aan een melding.
Het gaat dan bijvoorbeeld om het voorzien van de melder van relevante vervolginformatie,
het informeren van het centrale contactpunt in het geval van grensoverschrijdende
gevolgen, zodat andere lidstaten geïnformeerd kunnen worden over het incident, en
het kunnen waarschuwen van het publiek.

Centraal contactpunt

Het centrale contactpunt kan de taken uit de Wwke niet uitvoeren zonder de verwerking
van de persoonsgegevens die nodig zijn om contact te leggen met de centrale contactpunten
van andere lidstaten. Dit geldt ook voor het doorsturen van meldingen van incidenten,
inclusief de daarvan deel uitmakende persoonsgegevens, aan de centrale contactpunten
van andere getroffen lidstaten.

6.3.4 Conclusie

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende
instantie) is een gerechtvaardigde beperking van de persoonlijke levenssfeer met het
oog op het versterken van de weerbaarheid van kritieke entiteiten. De voorgestelde
bevoegdheden zijn omkleed met voldoende waarborgen, zoals hierboven is uiteengezet.

6.4 Avg

De verwerking van persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende
instantie) en het centrale contactpunt moet in overeenstemming zijn met de Avg, meer
in het bijzonder de artikelen 5 (beginselen inzake verwerking van persoonsgegevens)
en 6 (rechtmatigheid van de verwerking) Avg. In deze paragraaf volgt een toetsing
aan deze artikelen uit de Avg. Deze elementen vertonen overlap met de rechtspraak
van het EHRM.

6.4.1 Rechtmatigheid, behoorlijkheid en transparantie

In artikel 5, eerste lid, onderdeel a, Avg is bepaald dat persoonsgegevens moeten
worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk
en transparant is.

Rechtmatigheid

Artikel 6, eerste lid, Avg moet worden beschouwd als de uitwerking en nadere invulling
van het beginsel van rechtmatigheid, genoemd in artikel 5, eerste lid, onderdeel a,
Avg. De eerstgenoemde bepaling richt zich tot de verwerkingsverantwoordelijke en geeft
de voorwaarden voor de rechtmatigheid van een verwerking. Voor de verwerkingen van
persoonsgegevens door de bevoegde autoriteit (vakminister en toezichthoudende instantie)
en het centrale contactpunt kan de grondslag worden gevonden in artikel 6, eerste
lid, onderdeel c, Avg. Die verwerkingen zijn immers noodzakelijk om te voldoen aan
een wettelijke verplichting die op deze verwerkingsverantwoordelijken rust. Voorts
kan ook de grondslag worden gevonden in artikel 6, eerste lid, onderdeel e, Avg, omdat
deze verwerkingen noodzakelijk zijn voor de vervulling van een taak van algemeen belang
of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de
verwerkingsverantwoordelijke is opgedragen.

Behoorlijkheid

Het vereiste van behoorlijkheid houdt in dat een betrokkene op de hoogte moet (kunnen)
zijn van de verwerking van zijn persoonsgegevens, inclusief de wijze waarop deze gegevens
worden verwerkt, verzameld, bewaard en gebruikt. Hierop zijn een aantal uitzonderingen,
zie de artikelen 13 en 14 Avg.

De bevoegde autoriteit (vakminister en/of toezichthoudende instantie) zal – gelet
op de meldplicht van kritieke entiteiten – de gegevens rechtstreeks van betrokkene
zelf ontvangen. Dit geldt ook voor de gegevens van de medewerkers van de centrale
contactpunten van andere lidstaten, die door deze contactpunten worden verzonden aan
het Nederlandse centrale contactpunt (Minister van Justitie en Veiligheid). Daarmee
zijn deze betrokkenen op de hoogte van de verwerking en wordt voldaan aan het beginsel
van behoorlijkheid.

Transparantie

Transparantie kent verschillende vormen. Enerzijds houdt dit in dat het verwerkingsproces
transparant is. Het proces van de verwerking van persoonsgegevens zal door het centrale
contactpunt en de bevoegde autoriteit (vakminister en toezichthoudende instantie)
in samenspraak met de functionaris gegevensbescherming worden ingericht. Daarmee wordt
voldaan aan het element van transparantie.

6.4.2 Doelbinding

In artikel 5, eerste lid, onderdeel b, Avg is bepaald dat persoonsgegevens worden
verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
en vervolgens niet verder op een met die doeleinden onverenigbare wijze mogen worden
verwerkt. Dit betreft het zogeheten doelbindingsbeginsel.

De verwerking van persoonsgegevens in het kader van de Wwke geschiedt in het kader
van de in de Wwke opgenomen doelen. De algemene doelen van de Wwke zijn opgenomen
in artikel 2 Wwke. In de diverse artikelen in de Wwke waarin de grondslag is geregeld
voor het centrale contactpunt en de bevoegde autoriteit (vakminister en/of toezichthoudende
instantie) om gegevens, waaronder persoonsgegevens, uit te wisselen zijn ook de doelen
van die gegevensverwerking omschreven.

6.4.3 Minimale gegevensverwerking

In artikel 5, eerste lid, onderdeel c, Avg is bepaald dat persoonsgegevens toereikend
moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden
waarvoor zij worden verwerkt. Voor de bespreking hiervan wordt verwezen naar paragraaf 6.3.3,
waarin is ingegaan op de dringende maatschappelijke behoefte voor de verwerking van
persoonsgegevens en de noodzaak van die verwerking.

6.4.4 Juistheid

In artikel 5, eerste lid, onderdeel d, Avg is bepaald dat persoonsgegevens juist moeten
zijn en zo nodig moeten worden geactualiseerd. Ook is hierin bepaald dat alle redelijke
maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden
waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.

De bevoegde autoriteit (vakminister en toezichthoudende instantie) en het centrale
contactpunt moeten dus passende maatregelen nemen om de juistheid van de gegevens
te borgen. Dit betekent dat er processen en procedures uitgewerkt moeten worden om
fouten bij het verkrijgen van de gegevens te voorkomen en om de gegevens met enige
regelmaat te controleren. Deze processen en procedures worden door de bevoegde autoriteit
(vakminister en toezichthoudende instantie) en het centrale contactpunt in samenspraak
met de functionaris gegevensbescherming opgesteld.

6.4.5 Opslagbeperking

In artikel 5, eerste lid, onderdeel e, Avg is bepaald dat persoonsgegevens moeten
worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren
dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt.
In artikel 33 Wwke is bepaald dat bij of krachtens amvb regels worden gesteld over
de bewaarperiode van persoonsgegevens.

6.4.6 Integriteit en vertrouwelijkheid

In artikel 5, eerste lid, onderdeel f, Avg is bepaald dat persoonsgegevens, door het
nemen van passende technische of organisatorische maatregelen, op een dusdanige manier
moeten worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij
onder meer beschermd moeten zijn tegen ongeoorloofde of onrechtmatige verwerking en
tegen onopzettelijk verlies, vernietiging of beschadiging. De Minister van Justitie
en Veiligheid (als het centrale contactpunt) en de bevoegde autoriteit (vakminister
en toezichthoudende instantie) hebben een passend beveiligingsbeleid om de integriteit
en vertrouwelijkheid van de persoonsgegevens te borgen.

7. Verhouding tot nationale regelgeving

In deze paragraaf wordt beschreven welke verplichtingen er op grond van nationale
wetgeving reeds gelden voor specifieke sectoren en wordt bezien hoe die verplichtingen
zich verhouden tot de verplichtingen uit de Wwke. Daarbij wordt de wetgeving per ministerie
bekeken.

7.1 Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Voor de centrale overheid zijn er op dit moment verschillende voorschriften met betrekking
tot de weerbaarheid. Het betreft vooral niet-wettelijke voorschriften, zoals het Normenkader
beveiliging rijkskantoren 3.0 en de Baseline Informatiebeveiliging Overheid (BIO).

Voor archiefruimten en archiefbewaarplaatsen zijn eisen opgenomen in de Archiefwet
1995. In artikel 21, eerste lid, Archiefwet 1995 is bepaald dat bij of krachtens amvb
regels worden gesteld met betrekking tot de duurzaamheid van door overheidsorganen
op te maken archiefbescheiden, omtrent de bouw, verbouwing, inrichting en verandering
van inrichting van archiefruimten en archiefbewaarplaatsen, alsmede omtrent de ingebruikneming
van gebouwen of gedeelten van gebouwen als archiefruimte of archiefbewaarplaats. Artikel 13,
eerste en tweede lid, Archiefbesluit 1995 verplichten de zorgdrager om zijn archiefruimten
en -bewaarplaatsen zodanig te situeren, te bouwen, in te richten en te beveiligen
dat ze toereikend beschermd worden tegen brand, inbraak en wateroverlast. Deze vereisten
worden nader uitgewerkt in hoofdstuk 5 en 6 van de Archiefregeling. Deze vereisten
hangen samen met de zorgplicht zoals die in de Wwke is opgenomen.

7.2 Ministerie van Economische Zaken

Op de entiteiten uit de sector energie, subsectoren elektriciteit en gas, is de Wet
informatie-uitwisseling bovengrondse en ondergrondse netten en netwerken (hierna:
WIBON) van toepassing. Aangezien alle risico’s die de dienstverlening kunnen verstoren
tevens onderdeel zijn van de risicobeoordeling, bedoeld in de Wwke, door de kritieke
entiteit is er sprake van overlap met de WIBON. De risico’s volgens de WIBON zullen
naar verwachting onderdeel zijn van de risicobeoordeling door de kritieke entiteit
op grond van de Wwke. De overlap wordt ondervangen wanneer een kritieke entiteit een
document heeft opgesteld op grond van de WIBON, en dat document kan dienen ter voldoening
aan de verplichting tot het uitvoeren van een risicobeoordeling (zie artikel 14, vierde
lid, Wwke). Op deze manier worden de administratieve lasten voor kritieke entiteiten
tot het minimale beperkt.

7.3 Ministerie van Financiën

De Wet op het financieel toezicht en de Pensioenwet, alsmede aan die wetten verwante
regelgeving, beschrijven het toezicht op bijna de hele financiële sector in Nederland.
Onderdeel hiervan is regelgeving inzake de bedrijfsvoering van onder toezicht staande
ondernemingen. Het toezicht op de naleving van die regels is, afhankelijk van het
type marktpartij, belegd bij hetzij de Autoriteit Financiële Markten, hetzij De Nederlandsche
Bank N.V.

De DORA bevat additionele regels op het terrein van digitale weerbaarheid, maar is
niet van toepassing op alle marktpartijen die actief zijn in de financiële sector.

De verplichtingen uit de Wwke gelden alleen voor marktpartijen die actief zijn in
de financiële sector voor zover zij onder de Wwke worden aangewezen als kritieke entiteit.
Hierbij geldt echter ook de in artikel 23 Wwke opgenomen uitzondering. Hierin is geregeld
dat de artikelen 14, 15, 17, 19, 20 en 22 niet van toepassing zijn op kritieke entiteiten
in de sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur.

7.4 Ministerie van Infrastructuur en Waterstaat

Luchtvaart, scheepvaart, spoor en weg

Voor de vervoerssector (luchtvaart, scheepvaart, spoor en weg) is er geen sprake van
botsing van bestaande wetgeving met de verplichtingen uit de Wwke.

Drinkwater

De zogeheten Drinkwaterrichtlijn23 verplicht tot een all hazard-risicoanalyse en tot risicobeheer, (herstel)maatregelen, meldingen bij verstoringen
en informatieplichten aan het publiek. Met de CER-richtlijn ontstaan zwaardere en
meer uitgebreide verplichtingen voor kritieke entiteiten. Er is daarom aanleiding
om de samenloop tussen beide richtlijnen te regelen. Dit zal geschieden bij amvb.

Naar de opvatting van de regering gaat de Drinkwaterrichtlijn niet voor op de CER-richtlijn
(die in artikel 1, derde lid, een voorrangsbepaling voor sectorspecifieke EU-regels
bevat ten aanzien van voorgeschreven maatregelen voor kritieke entiteiten om hun weerbaarheid
te vergroten), omdat de Drinkwaterrichtlijn geen specifieke eisen kent voor fysieke
beveiliging. De Drinkwaterrichtlijn heeft vooral betrekking op risico’s voor de drinkwaterkwaliteit
en de beschikbaarheid van drinkwater in verband met risico’s in het watersysteem,
klimaatverandering en dergelijke. De bepalingen over risicoanalyse en risicobeheer
uit de Drinkwaterrichtlijn hebben weliswaar – zoals opgemerkt – een all hazard-karakter, maar omdat deze niet specifiek zien op fysieke beveiliging, kunnen zij
niet als ten minste gelijkwaardig worden beschouwd aan de verplichtingen op grond
van de CER-richtlijn, die zijn geïmplementeerd in de Wwke. De verplichtingen uit de
CER-richtlijn, geïmplementeerd in de Wwke, zijn dus van toepassing naast die uit de
Drinkwaterrichtlijn.

Afvalwater

Voor de sector afvalwater is er op dit moment geen wetgeving over een meldplicht,
zorgplicht of risicobeoordeling ten aanzien van de fysieke veiligheid van toepassing.
Er is voor wat betreft de verplichtingen uit de Wwke voor kritieke entiteiten dan
ook geen sprake van botsing met bestaande verplichtingen.

Ruimtevaart/plaats- en tijdsbepaling

Voor wat betreft de sector ruimtevaart/plaats- en tijdsbepaling met behulp van satellieten
vallen er geen entiteiten onder het toepassingsbereik van de Wwke.

7.5 Ministerie van Klimaat en Groene Groei

Elektriciteitswet 1998, Gaswet en Energiewet

Op de entiteiten uit de sector energie, subsectoren elektriciteit en gas, zijn de
Elektriciteitswet 1998 en de Gaswet van toepassing. De Elektriciteitswet 1998 (artikel 16,
eerste lid, onderdeel q) en de Gaswet (artikel 10, elfde lid) bevatten de taak voor
netbeheerders om hun netten te beschermen tegen invloeden van buitenaf, waaronder
fysieke invloeden inclusief weerbaarheid, van buitenaf. De zorgplicht die de Wwke
regelt en de uitwerking daarvan bij amvb kunnen gezien worden als instructie aan de
netbeheerders hoe zij op het gebied van fysieke invloeden inclusief weerbaarheid,
van buitenaf invulling geven aan hun taak op grond van de Elektriciteitswet 1998 en
de Gaswet. Een meldplicht op het punt van fysieke invloeden inclusief weerbaarheid,
van buitenaf is niet geregeld in deze wetten. Er is dus geen sprake van botsende verplichtingen.

Met ingang van 1 januari 2026 treedt de Energiewet, met uitzondering van enkele artikelen,
in werking.24 Die wet strekt ter vervanging van de Elektriciteitswet 1998 en de Gaswet en voorziet
in een hernieuwd regelgevend kader met betrekking tot de productie, het transport
en de levering van elektriciteit en gas. Artikel 3.18 Energiewet bevat een nieuwe
grondslag voor nadere regels ten behoeve van de bescherming van vitale processen.
Dat artikel draagt bij aan het vergroten van de weerbaarheid ten behoeve van de te
leveren essentiële dienst. Gedelegeerde regelgeving op grond van artikel 3.18 Energiewet
bevat specifieke regels voor systeembeheerders en kan worden betrokken bij de invulling
van de zorgplicht en de beoordeling of een kritieke entiteit aan de zorgplicht voldoet.
Er is geen sprake van botsende verplichtingen. Wel kan het in de praktijk voorkomen
dat tussen verschillende toezichthoudende instanties samenwerkingsafspraken moeten
worden gemaakt.

Artikel 3.74 Energiewet behandelt kwaliteitsborging en calamiteitenplan van transmissie-
en distributiesysteembeheerders. In de onderliggende amvb, het Energiebesluit, zijn
in paragraaf 3.3.1 in concept nadere eisen gesteld aan het kwaliteitsborgingssysteem
van de transmissie- en distributiesysteembeheerders. Risico’s voor de betrouwbaarheid
worden in kaart gebracht inclusief kans en impact. De Wwke verplicht de bevoegde autoriteit
(vakminister) een risicobeoordeling te maken en dit te communiceren met kritieke entiteiten.
Transmissie- en distributiesysteembeheerders moeten als kritieke entiteit deze aangedragen
risico’s meenemen in de risicobeoordeling die zij zelf moeten verrichten op grond
van artikel 14 Wwke. Deze verplichting uit de Wwke is een aanvulling op het kwaliteitsplan
in het Energiebesluit. Om dubbele lasten te voorkomen kunnen kritieke entiteiten de
documenten die zij hebben opgesteld op grond van andere wet- en regelgeving, zoals
de Energiewet zodra deze in werking is getreden, tevens gebruiken voor de uitvoering
van de in artikel 14 Wwke opgenomen verplichting tot het uitvoeren van een risicobeoordeling,
waarmee de administratieve lasten voor kritieke entiteiten tot het minimale worden
beperkt.

Warmtewet

Op de entiteiten uit de sector energie, subsector stadsverwarming- en koeling, is
de Warmtewet van toepassing. De Warmtewet is summier in het kader van de weerbaarheidsverplichting.
Op basis van artikel 2, eerste lid, Warmtewet zijn warmteleveranciers gehouden tot
zorg voor een betrouwbare levering. De zorgplicht in de Wwke kan worden gezien als
instructie aan de warmteleveranciers hoe zij op het gebied van fysieke veiligheid
invulling geven aan hun taak op grond van artikel 2, eerste lid, Warmtewet.

Wet collectieve warmtevoorziening

Het voorstel van wet houdende regels omtrent productie, transport en levering van
warmte (Wet collectieve warmte) (hierna: Wcw) is bij koninklijke boodschap van 18 juni
2024 ingediend bij de Tweede Kamer.25

Dit wetsvoorstel heeft als doel de belangen van verbruikers die zijn aangesloten op
een collectieve warmtevoorziening zo goed mogelijk te waarborgen. Een betrouwbare
warmtelevering vormt daarbij een belangrijk uitgangspunt. Onder betrouwbaarheid moet
ook de veiligheid van het warmte(transport)net worden verstaan. Een ander belangrijk
uitgangspunt van dit wetsvoorstel is het waarborgen van de leveringszekerheid van
collectieve warmte. Het warmtebedrijf krijgt daarom de taak toegewezen om te zorgen
voor voldoende bron- en transportcapaciteit om ruimten tot minimaal 20 °C te kunnen
verwarmen bij een buitentemperatuur van –10 °C. Ook digitale weerbaarheid is onderdeel
van deze taak.

De zorgplicht uit de Wwke kan worden gezien als een verdiepende instructie aan de
beheerders van collectieve warmtevoorzieningen over hoe zij op het gebied van weerbaarheid
invulling geven aan hun taak op grond van de toekomstige Wcw. Een meldplicht ten behoeve
van de weerbaarheid is niet geregeld in de Wcw.

Voorts voorkomt het vereiste van een publiek meerderheidsbelang bij een collectieve
warmtevoorziening (een systeem van meer dan 1.500 verbruikers) ongewenste buitenlandse
invloed op vitale warmte-infrastructuur.

Mijnbouwwet

Op grond van artikel 33 Mijnbouwwet rust er een zorgplicht op houders van een vergunning
voor opsporing en winning van koolwaterstoffen, het opslaan van stoffen, het opsporen
van CO2-complexen en het opsporen en winnen van aardwarmte. Deze vergunninghouders zijn entiteiten
die in sommige gevallen voldoen aan de beschrijving van kritieke entiteiten in de
zin van de Wwke in de sector energie. Het gaat in dit verband om exploitanten van
voorzieningen voor productie van olie, leveringsbedrijven van gas, aardgasbedrijven
en opslagsysteembeheerders van gas.

De zorgplicht uit de Mijnbouwwet is gericht op domeinen zoals procesveiligheid en
omgevingsveiligheid. De zorgplicht uit de Mijnbouwwet is vooral gericht op de veiligheid
van de omgeving, het milieu en de medewerkers van een mijnbouwwerk. Zorg en toezicht
op de veiligheid in de Mijnbouwwet is daarmee niet uitsluitend gericht op de continuïteit
van de verlening van de essentiële dienst(en) door de kritieke entiteit en op bijvoorbeeld
ongewenste intenties van actoren. Daarmee verschilt de doelstelling van de Wwke met
die van de Mijnbouwwet, maar er is wel een overlap in de aandachtsgebieden tussen
deze wetten.

Waar nodig kunnen verschillende toezichthoudende instanties het toezicht afstemmen
om onnodige overlap of feitelijke dubbelingen te voorkomen. Om dubbele lasten te voorkomen
kunnen kritieke entiteiten de documenten die zij hebben opgesteld op grond van andere
wet- en regelgeving, tevens gebruiken voor de uitvoering van verplichtingen op grond
van de Wwke, waarmee de administratieve lasten voor kritieke entiteiten tot het minimale
worden beperkt.

7.6 Ministerie van Landbouw, Visserij, Voedselzekerheid en Natuur

Artikel 19 van de Verordening (EG) Nr. 178/2002,26 over levensmiddelen, verplicht exploitanten van een levensmiddelenbedrijf melding
te doen bij de bevoegde autoriteit (de Nederlandse Voedsel- en Warenautoriteit) als
hij van mening is of redenen heeft om aan te nemen dat een levensmiddel dat hij ingevoerd,
geproduceerd, verwerkt, vervaardigd of gedistribueerd heeft niet aan de voedselveiligheidsvoorschriften
voldoet. Voor zover een hiervoor bedoelde exploitant is aangewezen als kritieke entiteit
in de zin van de Wwke, geldt op die exploitant ook de meldplicht uit de Wwke. Hierbij
wordt opgemerkt dat de meldplicht uit de Wwke ziet op een incident dat de verlening
van de essentiële dienst van de kritieke entiteit aanzienlijk verstoort of kan verstoren,
en dus niet op een melding in het kader van de voedselveiligheid, waar artikel 19
van de Verordening (EG) Nr. 178/2002 op ziet.

Artikel 5 van de Verordening (EG) Nr. 852/2004,27 over levensmiddelenhygiëne, verplicht exploitanten van levensmiddelenbedrijven zorg
te dragen voor de invoering, uitvoering en handhaving van één of meer permanente procedures
die gebaseerd zijn op de HACCP-beginselen. HACCP staat voor Hazard Analysis and Critical Control Points en is een risico-inventarisatie voor voedingsmiddelen. In de praktijk kunnen entiteiten
onder die verplichting al passende en evenredige technische, beveiligings- en organisatorische
maatregelen ten behoeve van een aantal processen hebben genomen, die ook moeten worden
genomen op grond van de Wwke (voor zover de hiervoor bedoelde exploitanten tevens
zijn aangewezen als kritieke entiteit in de zin van de Wwke).

7.7 Ministerie van Volksgezondheid, Welzijn en Sport

Sector gezondheidszorg

Voor de sector gezondheidszorg bestaat geen wetgeving die direct ziet op het voorkomen,
beperken of beheersen van fysieke incidenten, of om bescherming te bieden of bestand
te zijn tegen, te reageren op of zich aan te passen aan en te herstellen van fysieke
incidenten. Met de Wwke komt hier verandering in voor de aangewezen kritieke entiteiten
in de sector gezondheidszorg. De Inspectie Gezondheidszorg en Jeugd (hierna: IGJ)
ziet toe op de naleving van de verplichtingen uit de Wwke waar de kritieke entiteiten
uit de sector gezondheidszorg aan dienen te voldoen.

In de sector gezondheidszorg zijn er wel diverse sectorspecifieke wetgeving die zien
op de kwaliteit van diensten en producten (zorgplicht) en op het melden van incidenten
of onvolkomenheden (meldplicht) aan de IGJ.

Zorgaanbieder

Op grond van de Wet kwaliteit, klachten en geschillen zorg geldt voor zorgaanbieders
een verplichting om kwalitatief goede zorg te leveren en bij de IGJ melding te maken
van calamiteiten die gerelateerd zijn aan de kwaliteit van zorg.

Geneesmiddelen

In de Geneesmiddelenwet is de definitie van een geneesmiddel vastgesteld en is opgenomen
hoe een geneesmiddel mag worden geproduceerd en verhandeld. Onder een geneesmiddel
worden ook medische isotopen gedefinieerd, namelijk een radiofarmaceuticum, generator
van radionucliden, een kit met radionucliden tot radiofarmaceuticum en de uitgangsstof
van radionucliden. Geneesmiddelen worden door de fabrikant slechts afgeleverd aan
andere fabrikanten, groothandelaren en aan degenen die bevoegd zijn de desbetreffende
geneesmiddelen ter hand te stellen. De IGJ houdt toezicht op naleving van deze wet.

De Geneesmiddelenwet bevat verplichtingen voor vergunninghouders rondom het aanleggen
van kritische voorraden. Daarnaast dient een tekort van een geneesmiddel aan de IGJ
gemeld te worden. Als de oorzaak van een tekort of onvolkomenheid een incident is
dat de verlening van de essentiële dienst aanzienlijk verstoort of kan verstoren,
moet dit zowel gemeld worden onder de Wwke als onder andere wetgeving met betrekking
tot incidenten of tekorten. Hierdoor kan er voor de aangewezen kritieke entiteit sprake
zijn van een dubbele meldplicht.

Onderzoek naar en de ontwikkeling van geneesmiddelen

In de sector gezondheidszorg, genoemd in de bijlage van de Wwke, betreft een categorie
van entiteiten: entiteiten die zich bezig houden met het onderzoek naar en de ontwikkeling
van geneesmiddelen, onder verwijzing naar Richtlijn 2001/83/EG28. De laatstgenoemde richtlijn is in Nederland geïmplementeerd in de Wet medische wetenschappelijk
onderzoek met mensen. De IGJ ziet toe op de naleving van het bepaalde bij of krachtens
die wet.

Medische hulpmiddelen

Voor entiteiten die medische hulpmiddelen vervaardigen geldt op dit moment sectorspecifieke
regelgeving die ziet op de kwaliteit en de werking van medische hulpmiddelen en het
melden van incidenten. Dit is vastgelegd in de Verordening (EU) 2017/74529, over medische hulpmiddelen. Deze verordening stelt eisen aan de marktdeelnemers
(fabrikanten, distributeurs, importeurs, Europees gemachtigden, aangemelde instanties
en zorginstellingen die zelf hulpmiddelen maken). Meldingen van incidenten met medische
hulpmiddelen dienen door een fabrikant gemeld te worden bij de IGJ. De verordening
bevat ook verplichtingen voor marktdeelnemers rondom schaarste en het melden daarvan
aan het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG). In het kader van
de Wwke gaat het specifiek over de entiteiten die medische hulpmiddelen vervaardigen
in het kader van noodsituaties.

7.8 Ministerie van Klimaat en Groene Groei, Ministerie van Infrastructuur en Waterstaat
en Ministerie van Volksgezondheid, Welzijn en Sport

Voor entiteiten die opereren binnen de sectoren energie (subsector elektriciteit)
en/of gezondheidszorg, zoals gedefinieerd in de Wwke, kan het zijn dat zij ook diensten
leveren die onder internationale regelgeving op het gebied van nucleaire veiligheid,
beveiliging en stralingsbescherming vallen. Voorbeelden van deze regelgeving zijn
het Verdrag inzake de fysieke beveiliging van kernmateriaal30, de Richtlijn 2014/87/Euratom31 en het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie (EURATOM)32. Deze entiteiten, ook wel nucleaire installaties genoemd, vallen onder het toezicht
van de Autoriteit Nucleaire Veiligheid en Stralingsbescherming (hierna: ANVS), die
dit toezicht in onafhankelijkheid uitvoert. De Minister van Infrastructuur en Waterstaat
is hiervoor beleidsverantwoordelijk.

Wanneer een nucleaire installatie onder de Wwke wordt aangemerkt als kritieke entiteit
binnen de sector energie en/of gezondheidszorg, is er een goede balans nodig tussen
verschillende ministeriële verantwoordelijkheden. Aan de ene kant is er de verantwoordelijkheid
van het Ministerie van Klimaat en Groene Groei voor de leveringszekerheid van elektriciteit.
Aan de andere kant is er de verantwoordelijkheid van het Ministerie van Infrastructuur
en Waterstaat voor de veiligheid van nucleaire installaties.

Gezien het zwaarwegende belang van stralingsveiligheid bij nucleaire installaties,
heeft de verantwoordelijkheid van de Minister van Infrastructuur en Waterstaat, ondersteund
door de inzet van de ANVS, prioriteit boven andere belangen, zoals de continuïteit
van de elektriciteitsvoorziening of de productie van medische hulpmiddelen. De ANVS
vervult een leidende rol in het toezicht op nucleaire installaties. Toezichthoudende
instanties binnen de Wwke moeten daarom ruimte hebben om te vertrouwen op de beoordelingen
van de ANVS en deze als afdoende te beschouwen voor het toezicht op de naleving van
de zorgplicht door kritieke entiteiten onder de Wwke, voor zover het gaat om nucleaire
veiligheid.

Indien nodig moeten toezichthoudende instanties ook de mogelijkheid hebben om in hun
toezicht gebruik te maken van standaarden en eisen die voortvloeien uit de kernenergiewetgeving.
Dit geldt ook in de situatie waarin de Minister van Infrastructuur en Waterstaat,
op basis van artikel 7 Wwke, een risicobeoordeling uitvoert en één of meerdere kritieke
entiteiten binnen de nucleaire sector vaststelt.

8. Gevolgen

8.1 Gevolgen voor burgers en bedrijven

8.1.1 Inleiding

De Wwke bevat verplichtingen voor entiteiten die zijn aangewezen als kritieke entiteit.
Deze entiteiten krijgen te maken met een stijging van de regeldruk. De door de Wwke
veroorzaakte regeldruk bestaat uit een stijging van administratieve lasten en inhoudelijke
nalevingskosten voor deze entiteiten. Momenteel is de schatting dat de Wwke van toepassing
zal zijn op 500 entiteiten. Overheidsinstanties zijn hierbij niet meegerekend, want
zij vallen niet onder de regeldruktoets.

Een deel van de entiteiten die onder het toepassingsbereik van de Wwke vallen zijn
nu al beleidsmatig aangemerkt als vitale aanbieder in de zin van de Wet beveiliging
netwerk- en informatiesystemen (hierna: Wbni). De inschatting is dat de stijging van
de regeldruk die uit de Wwke voortvloeit voor deze organisaties beperkter is dan voor
organisaties die nog niet onder het reeds bestaande vitaalstelsel vallen. Bestaande
(beleids)afspraken voor vitale aanbieders, gericht op risicomanagement en bedrijfscontinuïteit,
zullen namelijk gedeeltelijk overeenkomen met de verplichtingen die voortvloeien uit
de Wwke. Er zal echter ook voor deze organisaties sprake zijn van een intensivering
van de bestaande praktijken.

De Wwke heeft geen gevolgen voor de regeldruk voor burgers, evenmin voor organisaties
die niet als kritieke entiteit worden aangemerkt. De gevolgen van het eventueel wegvallen
van kritieke entiteiten zullen wel zeer groot zijn voor burgers die veelal afhankelijk
zijn van de vitale processen die kritieke entiteiten beheren.

In de volgende paragrafen wordt ingegaan op de regeldruk van de zorgplicht en de meldplicht,
de toezichtlasten en de eenmalige kennisnamekosten.

8.1.2 Zorgplicht

Op grond van artikel 15 Wwke moeten kritieke entiteiten passende en evenredige technische,
beveiligings- en organisatorische maatregelen nemen om voor hun weerbaarheid te zorgen.
Ook zonder deze wettelijke verplichting hebben kritieke entiteiten veelal al de nodige
beveiligingsmaatregelen getroffen, die kunnen bestaan uit een combinatie van technische,
operationele en organisatorische maatregelen. Dit is immers cruciaal voor de continuïteit
van hun bedrijfsvoering. Een deel van deze entiteiten heeft dus reeds de nodige investeringen
gedaan op het gebied van de veiligheid en beveiliging om zodoende verstoringen van
de continuïteit te voorkomen, zo snel mogelijk van verstoringen te herstellen en mogelijk
grote schadeposten als gevolg van verstoringen zoveel mogelijk te mitigeren.

De maatregelen die kritieke entiteiten in ieder geval moeten nemen in het kader van
de zorgplicht zijn opgenomen in artikel 15, eerste lid, Wwke. Bij amvb zullen regels
worden gesteld ter nadere invulling van de maatregelen die kritieke entiteiten in
het kader van de zorgplicht moeten nemen. Om die reden zal in die amvb eveneens worden
ingegaan op de nalevingskosten die voortvloeien uit de uitwerking van de zorgplicht.
Dit zal afhankelijk zijn van de mate waarin de maatregelen overeenkomen met de maatregelen
die kritieke entiteiten al hebben genomen. Bij het nader invullen van de maatregelen
zal nadrukkelijk rekening worden gehouden met bestaande normenkaders en richtsnoeren.

Kritieke entiteiten die reeds passende en evenredige maatregelen hebben genomen, zullen
naar verwachting weinig tot geen inhoudelijke nalevingskosten ervaren. Kritieke entiteiten
die deze maatregelen (deels) nog niet hebben genomen, kunnen een aanzienlijke regeldruk
ervaren bij het implementeren van de zorgplichtmaatregelen. Deze ervaren regeldruk
zal echter, voortvloeiende het doel van de Wwke, in verhouding staan tot de ervaren
lasten van eventuele incidenten die met deze maatregelen voorkomen hadden kunnen worden.

8.1.3 Meldplicht

Op grond van artikel 17 Wwke moeten kritieke entiteiten incidenten die de verlening
van hun essentiële dienst aanzienlijk verstoren of kunnen verstoren, melden bij de
bevoegde autoriteit (vakminister en/of toezichthoudende instantie). De meldplicht
is een informatieverplichting en daarmee een administratieve last.

Per sector kan nadere invulling worden gegeven aan de parameters die bepalen wanneer
incidenten meldplichtig zijn. Daarmee beïnvloeden deze parameters ook de regeldruk
voor entiteiten. Naar verwachting zal de meldplicht niet leiden tot een groot aantal
meldingen door entiteiten, omdat alleen incidenten die de essentiële dienstverlening
verstoren of kunnen verstoren dienen te worden gemeld. Momenteel is de schatting dat
de Wwke van toepassing zal zijn op 500 entiteiten.

Het uitgangspunt is dat het meldportaal op een lastenluwe manier wordt ingericht.
In dat kader wordt er naar gestreefd het meldportaal technisch zó in te richten, dat
het verspreiden van de benodigde informatie maar één handeling vergt, hetgeen de administratieve
lasten reduceert. De inrichting van het meldportaal wordt in overleg met betrokken
departementen, toezichthoudende instanties en de sectoren nader uitgewerkt. Tot die
tijd zal het doen van een melding bestaan uit de handelingen die hieronder worden
toegelicht.

Voor het verrichten van een melding zal het veelal gaan om de volgende handelingen.
Nadat de kritieke entiteit kennis heeft genomen van het incident dat gemeld moet worden,
zal een schriftelijke en eventueel telefonische melding moeten worden gedaan. Ook
moet informatie, bedoeld in artikel 17, tweede lid, Wwke worden verzameld en worden
verstrekt aan de bevoegde autoriteit (vakminister en/of toezichthoudende instantie).
Een maand na de melding moet een gedetailleerd verslag worden uitgebracht.

De tijd die het kritieke entiteiten zal kosten om een melding en vervolghandelingen
te doen onder de meldplicht zal verschillen per incident en zal onder andere afhankelijk
zijn van de ernst en complexiteit van het incident. De meldplicht geldt alleen voor
incidenten die de essentiële dienstverlening verstoren of kunnen verstoren. Omdat
dat gaat om incidenten met (potentieel) grootschalige gevolgen wordt ingeschat dat
de melding en vervolghandelingen gemiddeld 300 minuten kosten per incident. Dit omvat
260 minuten voor het doen van de melding (inclusief het opstellen van een gedetailleerd
verslag) en 40 minuten voor extra handelingen op het verzoek van de bevoegde autoriteit
(vakminister en/of toezichthoudende instantie). Als uurtarief wordt € 54 gehanteerd,
een gangbaar tarief voor theoretisch opgeleide kenniswerkers.33

Op dit moment wordt geschat dat jaarlijks 5% van de kritieke entiteiten een melding
moet doen. Dit percentage is gebaseerd op het aantal gedane meldingen op grond van
de Wbni (10%). Dit percentage is ten opzichte van het aantal gedane meldingen op grond
van de Wbni verlaagd voor de Wwke, omdat veel meldingen naar verwachting ook een digitale
component zullen hebben en dus onder de meldplicht van de Cbw zullen worden gedaan.
Bij 25 (500 entiteiten × 5%) meldingen per jaar komt dit neer op structurele jaarlijkse
regeldrukkosten van (25 × (300 minuten / 60 x € 54) =) € 6.750.

8.1.4 Toezichtlasten

Op de naleving van het bepaalde bij of krachtens de Wwke en het bepaalde in de op
grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen34 wordt toegezien door de toezichthoudende instantie. Dit levert regeldruk op in de
vorm van toezichtlasten.

Om een indicatie te schetsen van mogelijke toezichtslasten wordt hieronder een aannemelijke
minimumvariant uitgewerkt. Een reguliere audit zal ten minste eens in de vier jaar
uitgevoerd worden. Bij deze berekeningen wordt gebruikgemaakt van de standaard tijdsbestedingen
en uurtarieven uit het Handboek Meting Regeldrukkosten (versie 2023). In dit geval
kan uitgegaan worden van een gemiddelde audit van complex moeilijkheidsniveau door
een toezichthoudende instantie. Hiervoor wordt standaard 540 minuten gerekend. Uitgaande
van een uurtarief van € 54 komt dit uit op een minimale toezichtlast van (€ 54 × (540
minuten / 60) =) € 486,– per vier jaar per kritieke entiteit. Uitgaande van een inspectiecyclus
van vier jaar (125 entiteiten per jaar) zou dit jaarlijks op een totaal van € 60.750,–
uitkomen. Als kritieke entiteiten reeds passende weerbaarheidsmaatregelen hebben genomen
zal dit het meest voorkomende scenario zijn.

Ook kan er extra informatie opgevraagd worden door de toezichthoudende instantie als
bewijs van uitvoering van beveiligingsbeleid. Hiervoor wordt 120 minuten gerekend.
Ook kan er van een entiteit gevraagd worden om naar aanleiding van een inspectie aanpassingen
te doen. Hiervoor wordt standaard 480 minuten gerekend. Uitgaande van een uurtarief
van € 54 komt dit uit op een mogelijke toezichtslast van (€ 54 × ((540 + 120 + 480
minuten) / 60) =) € 1.026,– per entiteit.

De toezichthoudende instantie kan een kritieke entiteit daarnaast verplichten om een
audit uit te voeren door een onafhankelijke deskundige, op basis van risicobeoordelingen
of andere risicogerelateerde informatie, om inzicht te krijgen in de effectiviteit
van genomen beheersmaatregelen. In dit geval staat het een kritieke entiteit vrij
om zelf de auditor te selecteren. Het is daarom niet op voorhand mogelijk om een inschatting
van de toezichtslasten op dit aspect te maken, dit is onder andere sterk afhankelijk
van de sector waarin de kritieke entiteit opereert en de scope van de audit.

8.1.5 Eenmalige kennisnamekosten

Alle kritieke entiteiten zullen eenmalig tijd moeten besteden aan het verdiepen in
en kennisnemen van de Wwke. Entiteiten zullen hier naar schatting 16 uur (2 werkdagen)
voor nodig hebben. Uitgaande van een uurtarief van € 54 komt dit uit op (16 × € 54
=) € 864,– per kritieke entiteit aan eenmalige kennisnamekosten. Vermenigvuldigd met
het aantal betrokken organisaties (500) komt dit uit op een totaal van € 432.000,–.

8.2 Gevolgen voor de uitvoering

Een versie van dit wetsvoorstel is voorgelegd aan de IGJ, de Rijksinspectie Digitale
Infrastructuur, het Staatstoezicht op de Mijnen, de Inspectie Leefomgeving en Transport,
de Rijksdienst voor het Wegverkeer en de Nederlandse Voedsel- en Warenautoriteit.
De reacties van deze organisaties en instanties zijn in samenhang bezien en beoordeeld.
Daarbij zijn geen noemenswaardige aspecten naar voren gekomen die dit wetsvoorstel
in de weg staan. In algemene zin is helder wat de opgedragen taak is, zijn de organisaties
voldoende toegerust voor een doeltreffende uitvoering en is het de verwachting dat
de Wwke effectief is uit te voeren.

8.3 Financiële gevolgen voor de overheid

Een belangrijk deel van de verplichtingen uit de Wwke is in lijn met het bestaande
beleid ter bescherming van de vitale infrastructuur (de Aanpak vitaal). Wel wordt
extra inspanning gevraagd ten aanzien van het takenpakket. De Wwke leidt daarom naar
verwachting tot geringe extra financiële uitgaven voor de overheid. De belangrijkste
taken voor de Rijksoverheid houden verband met de verplichtingen om een nationale
strategie te ontwikkelen, om sectorale risicobeoordelingen uit te voeren, om kritieke
entiteiten te identificeren en aan te wijzen, om deze entiteiten te ondersteunen en
om het toezicht in te richten. Het vervullen van deze verplichtingen zal veelal een
intensivering zijn van het huidige beleid ter bescherming van de vitale infrastructuur
zoals ook beschreven in hoofdstuk 3. Dit zal apparaatskosten met zich meebrengen.

De kosten vallen grotendeels neer bij de verantwoordelijke departementen. Zij hebben
op basis van hun sectorverantwoordelijkheid een coördinerende rol richting kritieke
entiteiten om samenwerking, informatiedeling, de identificatie van risico’s en de
handhaving van de voorschriften van de Wwke te bevorderen. Hier zijn consequenties
aan verbonden met betrekking tot capaciteit en middelen, zowel voor de departementen
als de sectorale toezichthoudende instanties. Wegens variatie in sectorale omvang
en diepgang, wisselende specificiteit van complementaire sectorale wetgeving en uiteenlopende
kosten voor capaciteitsvergroting verschillen de budgettaire gevolgen sterk per departement.

Conform de regels van de budgetdiscipline dienen de budgettaire gevolgen te worden
ingepast op de begrotingen van de verantwoordelijke departementen. In onderstaande
tabel zijn de budgettaire gevolgen geraamd zoals verwerkt in de Miljoenennota 2025.
Gezien de nauwe samenhang met en gelijktijdige implementatie van de NIS2-richtlijn
zijn onder meer de beleidscapaciteit en ondersteuning van de Cbw en Wwke binnen de
departementen nauw met elkaar verweven. De kosten die worden ingeregeld zijn daarom
vaak niet uitsluitend voor één van de wetten. Daarom zijn de financiële gevolgen van
de Wwke gezamenlijk in beeld gebracht met de Cbw. De genoemde bedragen hieronder zijn
daarom inclusief de budgettaire gevolgen horende bij de Cbw.

Tabel 1: budgettaire gevolgen per departement

(in mln. €)

2024

2025

2026

2027

2028

Structureel

Economische Zaken en Klimaat

7,30

 
 
 
 
 

Economische Zaken

 

9,30

12,33

12,39

12,91

12,91

Klimaat en Groene Groei

 

7,02

9,84

9,78

9,26

9,26

Infrastructuur en Waterstaat

0,00

11,90

13,40

15,00

16,50

18,00

Volksgezondheid, Welzijn en Sport

5,07

8,11

8,11

8,04

8,04

8,04

Binnenlandse Zaken en Koninkrijksrelaties

2,54

7,06

7,26

7,46

7,56

7,56

Onderwijs, Cultuur en Wetenschap

2,14

2,30

4,09

4,09

4,09

3,59

Landbouw, Visserij, Voedselzekerheid en Natuur

0,70

5,10

5,80

6,80

6,80

6,80

Justitie en Veiligheid

3,64

6,37

9,00

10,68

13,92

15,17

Financiën

0,00

1,20

1,30

1,40

1,50

1,50

Totaal

21,39

58,36

71,13

75,64

80,58

82,83

De kosten voor het Ministerie van Infrastructuur en Waterstaat zijn in de Miljoenennota
2025 binnen de begroting opgenomen.

Voor het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties geldt dat de kosten
van de Cbw en van de Binnenlandse Zaken en Koninkrijksrelaties-gerelateerde kosten
voor de Wwke worden gedekt binnen de beleidsartikelen 6 en 7 van de begroting van
het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties als onderdeel van hoofdstuk 7
van de Rijksbegroting.

Voor het Ministerie van Onderwijs, Cultuur en Wetenschap geldt dat de budgettaire
gevolgen voor de rol van het CSIRT en het inrichten van het toezicht reeds zijn verwerkt
in de Voorjaarsnota 2025. Deze kosten zijn opgenomen in tabel 1. Er wordt nader onderzocht
welke financiële implicaties er zijn verbonden aan de uitvoering van de Cbw wanneer
de Minister van Onderwijs, Cultuur en Wetenschap gebruik maakt van de bevoegdheid
om hbo- en wo-instellingen via een aanwijzing onder de reikwijdte van de Cbw te brengen.

Daarnaast voert de Minister van Justitie en Veiligheid de sectoroverstijgende regie
op de uitvoering van de Wwke. De Minister van Justitie en Veiligheid is verantwoordelijk
voor het opstellen van de nationale strategie en de werkzaamheden die voortkomen uit
de aanwijzing als het centrale contactpunt. Ook voor deze taken geldt dat ze grotendeels
al onderdeel uitmaken van het bestaande nationale beleid. De minimale extra belasting
wordt opgevangen binnen de huidige formatie en de lopende begroting van het Ministerie
van Justitie en Veiligheid.

Hierbij dient opgemerkt te worden dat de ingeschatte apparaatsuitgaven voor de uitvoering
van de Wwke gebaseerd zijn op het op dit moment verwachte aantal kritieke entiteiten
dat onder het toepassingsbereik van de Wwke komt te vallen. Op basis hiervan hebben
de verantwoordelijke departementen een raming opgenomen in hun begrotingen. Naar gelang
de implementatie van de Wwke vordert kunnen meer betrouwbare ramingen worden gemaakt
en bijstellingen nodig blijken te zijn. Bijvoorbeeld door voorgestelde wijzingen vanuit
de consultatie op de amvb onder de Wwke of een uitvoeringstoets. Tot slot kunnen ook
overheidsorganisaties of -onderdelen als kritieke entiteit worden aangewezen. In dat
geval krijgen zij te maken met de regeldrukkosten zoals beschreven in paragraaf 8.1.

8.4 Gegevensbeschermingseffectbeoordeling

Zoals vereist door artikel 35 Avg is bij de voorbereiding van dit wetsvoorstel een
Gegevensbeschermingseffectbeoordeling, ook wel data privacy impact assessment (hierna: DPIA), uitgevoerd. De verwerkingsverantwoordelijke voert vóór de verwerking
een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming
van persoonsgegevens. Uit de Avg volgt overigens dat het uitvoeren van een DPIA een
voortdurend proces is, dat niet stopt na de voorbereiding van een voorstel. De DPIA
bestaat uit verschillende onderdelen: een beschrijving van de voorgenomen gegevensverwerkingen
en verwerkingsdoeleinden (onderdeel A), de beoordeling van de onder A verzamelde informatie
aan het juridische kader (onderdeel B), de risico’s voor betrokkenen (onderdeel C)
en de beoogde maatregelen om die risico’s aan te pakken (onderdeel D). Op basis van
het wetsvoorstel zijn de risico’s met betrekking tot gegevensverwerking onderzocht.
Hieruit blijken slechts lage risico’s voorzien voor betrokkenen. De resultaten van
de DPIA zijn verwerkt in hoofdstuk 6.

9. Advies en consultatie

9.1 Inleiding

Een eerdere versie van dit wetsvoorstel is voor advies voorgelegd aan de Autoriteit
persoonsgegevens (hierna: AP) en het Adviescollege toetsing regeldruk (hierna: ATR),
opengesteld voor consultatie op www.internetconsultatie.nl en voor commentaar toegezonden aan belangenorganisaties en entiteiten. Hieronder
volgt een globale bespreking van de adviezen en reacties.

Waar de nummers van de besproken artikelen verschillen, worden de artikelen van die
eerdere versie als volgt aangeduid: ([artikelnummer] oud).

9.2 Advies AP

De AP concludeert in haar advies dat, gelet op de vereisten uit de Avg, uit het wetsvoorstel
niet blijkt welke persoonsgegevens uitgewisseld kunnen worden in het kader van de
samenwerking tussen verschillende instanties dan wel dat een dwingende delegatiegrondslag
ontbreekt om dit in nadere regelgeving te bepalen, terwijl dit wel noodzakelijk is.
Het advies van de AP wordt op dit punt niet gevolgd. Het is niet op voorhand duidelijk
welke persoonsgegevens in het kader van de uitoefening van de taken uit de Wwke verwerkt
zullen worden. Als op voorhand (bijvoorbeeld in lagere regelgeving) bepaalde categorieën
van persoonsgegevens limitatief worden opgesomd, kan dit de verschillende instanties
belemmeren in hun taakuitoefening.

Ten aanzien van bijzondere categorieën van persoonsgegevens wijst de AP op de noodzaak
om bij amvb dwingend te bepalen welke categorieën van bijzondere persoonsgegevens
verwerkt kunnen worden door de bevoegde autoriteit, als dat noodzakelijk is voor haar
taakuitoefening als bedoeld in artikel 31a, tweede lid, Wwke (oud). Naar aanleiding
van dit advies is nader bezien of concreet kan worden vastgesteld welke categorieën
van bijzondere persoonsgegevens verwerkt zouden kunnen worden door de bevoegde autoriteit.
Dit was niet mogelijk. Daarom is artikel 31a Wwke (oud) komen te vervallen en daarmee
dus de grondslag voor de bevoegde autoriteit om bijzondere categorieën van persoonsgegevens
te verwerken.

Ten aanzien van bewaartermijnen acht de AP het wenselijk dat dergelijke termijnen
worden bepaald. Naar aanleiding van deze reactie is artikel 33 Wwke ingevoegd.

Ook adviseert de AP om te definiëren wat wordt verstaan onder vertrouwelijke gegevens
als bedoeld in artikel 34 Wwke (32 oud), dan wel een grondslag op te nemen die dwingend
voorschrijft om in gedelegeerde regelgeving te bepalen welke gegevens dit zijn. Dit
advies wordt niet gevolgd. Door vertrouwelijke gegevens te definiëren is de kans aanzienlijk
dat daarmee de CER-richtlijn onjuist of onvolledig wordt geïmplementeerd. De definitie
zal immers een clausulering impliceren, terwijl de CER-richtlijn die clausulering
niet bevat of beoogt. Wel is naar aanleiding van dit advies de artikelsgewijze toelichting
op artikel 34 Wwke (32 oud), waarin de context en enkele voorbeelden van vertrouwelijke
gegevens staan, op punten aangescherpt.

9.3 Advies ATR

Het ATR adviseert om het nut en de noodzaak in de memorie van toelichting beter te
onderbouwen door te verduidelijken waar en in welke mate de bestaande wetgeving tekort
schiet op het punt van toegenomen dreigingen. Naar aanleiding hiervan is hoofdstuk 4,
punt 1 aangevuld.

Het ATR adviseert om in de memorie van toelichting te verduidelijken of, en zo ja,
waar en waarom wordt gekozen voor zwaardere eisen dan de minimumeisen van de CER-richtlijn.
De reactie hierop is als volgt. Er is niet gekozen voor zwaardere eisen dan de minimumeisen
van de CER-richtlijn.

Het ATR adviseert om een mkb-toets uit te laten voeren voor de lagere regelgeving
waarmee de verplichtingen nader worden uitgewerkt. Conform dit advies wordt een mkb-toets
uitgevoerd op de amvb onder de Wwke.

Het ATR adviseert te waarborgen dat organisaties weten wat de verplichtingen precies
inhouden en hoe die nageleefd moeten worden. In reactie hierop wordt erop gewezen
dat er veel aandacht is voor de communicatie rondom de Wwke. Ook worden er handreikingen
gepubliceerd die begeleiding kunnen bieden in het implementeren van de verschillende
vereisten die de Wwke bevat.

Het ATR adviseert om één jaar na de inwerkingtreding van de Wwke een invoeringstoets
uit te voeren. Naar aanleiding van dit advies is niet gekozen voor de uitvoering van
een invoeringstoets één jaar na de inwerkingtreding van de Wwke (zoals het ATR adviseert),
maar voor een evaluatiebepaling (artikel 41 Wwke) waarin is bepaald dat vier jaar
na de inwerkingtreding van de Wwke een evaluatie van de Wwke moet zijn uitgevoerd.
De reden hiervoor is als volgt. Entiteiten kunnen pas na de inwerkingtreding van de
Wwke worden aangewezen als kritieke entiteit. Niet alle verplichtingen uit de Wwke
zijn direct van toepassing na de aanwijzing. Zo geldt voor de zorgplicht en de meldplicht
dat deze verplichtingen pas gelden vanaf 10 maanden na de aanwijzing als kritieke
entiteit. Een invoeringstoets één jaar na de inwerkingtreding van de Wwke zal dan
ook nog niet effectief zijn.

Het ATR adviseert om inzicht te geven in de orde van grootte van de regeldrukgevolgen
van die zaken die nog bij amvb worden geregeld. De CER-richtlijn wordt geïmplementeerd
in de Wwke en in de aan die wet onderliggende amvb. In de nota van toelichting op
de amvb wordt ingegaan op de regeldrukkosten.

Het ATR adviseert de beschrijving en de berekening van de regeldrukgevolgen aan te
vullen met de nog ontbrekende elementen, conform de Rijksbrede methodiek. Naar aanleiding
van dit advies is hoofdstuk 8 aangevuld met een indicatie van de toezichtslasten.
Bij de berekeningen is gebruik gemaakt van de laatste versie van de Rijksbrede methodiek.

9.4 Samenhang Wwke en Cbw

In de consultatiereacties van onder meer het Centraal Bureau Levensmiddelenhandel
(hierna: CBL), Vereniging NLconnect, ProRail B.V., VodafoneZiggo, KPN B.V. en de Unie
van Waterschappen is een vergelijking gemaakt tussen de Wwke en de Cbw. In die reacties
is gewezen op diverse verschillen tussen beide wetten. Er wordt gevraagd waarom bepaalde
zaken wel in de Cbw zijn geregeld maar niet in de Wwke, waarom gelijksoortige bepalingen
uit de Wwke en Cbw anders zijn geformuleerd en waarom de regels uit beide wetten niet
zijn geüniformeerd. De reactie hierop is als volgt. De Wwke strekt tot de implementatie
van de CER-richtlijn en de Cbw strekt tot de implementatie van de NIS2-richtlijn.
Deze richtlijnen vertonen op sommige punten gelijkenissen, maar zijn niet geheel identiek
aan elkaar. Zo omvatten de richtlijnen weliswaar onderwerpen die in beide richtlijnen
worden geregeld, zoals de zorgplicht en de meldplicht, maar waarvan de uitwerking
in de richtlijnen niet geheel identiek is. Verder heeft de NIS2-richtlijn een bredere
doelgroep dan de CER-richtlijn. Daarnaast omvatten de richtlijnen onderwerpen die
in de ene richtlijn wel en in de andere richtlijn niet worden geregeld. Een voorbeeld
hiervan is artikel 20 NIS2-richtlijn, over governance. Een dergelijke verplichting
wordt niet voorgeschreven in de CER-richtlijn. Dit verklaart ook waarom er ter implementatie
van de richtlijnen verschillende regelingen en formuleringen voorkomen in de wetten.

In enkele consultatiereacties, waaronder die van KPN B.V. en ProRail B.V., wordt gevraagd
naar de verhouding tussen de Wwke en de Cbw en meer specifiek wanneer sprake is van
een fysieke omgeving van een netwerk- en informatiesysteem als bedoeld in de Cbw en
wanneer sprake is van een fysieke omgeving of de fysieke infrastructuur als bedoeld
in de Wwke. Naar aanleiding van deze reacties is in paragraaf 2.3 verduidelijkt hoe
de Wwke en de Cbw met elkaar samenhangen, met name ten aanzien van het aspect van
fysieke beveiliging.

9.5 Verplichtingen

Sectorale uitwerking van verplichtingen in nadere regelgeving

Uit een aantal consultatiereacties, waaronder die van het Verbond van Nederlandse
Ondernemingen – Nederlands Christelijk Werkgeversverbond (hierna: VNO-NCW), de Koninklijke
Vereniging MKB-Nederland (hierna: MKB-Nederland), de Koninklijke Vereniging van de
Nederlandse Chemische Industrie (hierna: VNCI), N.V. Nederlandse Spoorwegen (hierna:
NS), Vewin en Netbeheer Nederland, komt naar voren dat nadere regelgeving gewenst
is ter uitwerking van de zorgplicht, waarbij de mogelijkheid wordt geboden om bij
reeds geldende (sectorale) normen aan te sluiten. Bij het stellen van nadere regels
zal hiermee rekening worden gehouden.

Nadere toelichting, waaronder op de meldplicht

Uit de consultatiereacties van onder andere Vattenfall, ProRail B.V. en Security Adviesgroep
is naar voren gekomen dat een toelichting op de criteria voor het aanwijzen van aanvullende
sectoren, genoemd in artikel 7 Wwke, gewenst is. Dit geldt ook voor een toelichting
op de drempelwaarden, de afbakening van de meldplicht, de mogelijke aansluiting op
andere meldplichten, het doel van de meldplicht en het gedetailleerd verslag, bedoeld
in artikel 17, vierde lid, Wwke. Naar aanleiding van deze reacties zijn de paragrafen
5.2 en 5.5 en de artikelsgewijze toelichting op artikel 7 Wwke aangevuld met aanvullende
toelichtingen.

Ingangsdatum verplichtingen

In een aantal consultatiereacties, waaronder die van NS, is verzocht om de termijn
waarbinnen een kritieke entiteit aan de verplichtingen uit de Wwke moet voldoen, op
te nemen in de Wwke. Naar aanleiding van deze reacties is artikel 15 Wwke ten aanzien
van de zorgplicht en artikel 17 Wwke ten aanzien van de meldplicht aangevuld met een
bepaling over wanneer de desbetreffende verplichtingen van toepassing zijn.

9.6 Handhaving

Uit de consultatiereacties van onder andere VNO-NCW, MKB-Nederland, VNCI, Vereniging
NLconnect en KPN B.V. komt naar voren dat nadere toelichting gewenst is ten aanzien
van overlappende sectoren met verschillende bevoegde autoriteiten en de verenigbaarheid
van de taakuitoefening van de bevoegde autoriteit ten aanzien van bestuursrechtelijke
handhaving en advisering aan kritieke entiteiten. Tevens zijn vragen gesteld over
het handhavingsbeleid van de bevoegde autoriteit. Naar aanleiding van deze reacties
is paragraaf 5.9 aangevuld.

In een consultatiereactie is verzocht om het wettelijk regelen van volgordelijkheid
van handhavingsinstrumenten. De reactie hierop is als volgt. Het is aan de toezichthoudende
instantie om te beoordelen welk handhavingsinstrument het meest passend en effectief
is, met inachtneming van onder andere de beginselen van evenredigheid en proportionaliteit.
Het regelen van een volgordelijkheid bij de inzet van handhavingsinstrumenten is niet
mogelijk.

In de consultatiereacties van KPN B.V. en Vereniging NLconnect is opgemerkt dat uit
het ter consultatie gelegde wetsvoorstel en de memorie van toelichting onvoldoende
blijkt dat de artikelen over handhaving niet van toepassing zijn ten aanzien van de
verplichtingen waarvan kritieke entiteiten uit de sector digitale infrastructuur zijn
uitgezonderd (waaronder de zorgplicht en de meldplicht). De reactie hierop is als
volgt. Als een verplichting niet van toepassing is op een entiteit, dan kan vanzelfsprekend
ten aanzien van die «verplichting» niet worden toegezien op de naleving daarvan. De
verplichting geldt immers niet voor de betrokken sector dan wel betrokken entiteit.
Dit wetsvoorstel en de memorie van toelichting behoeven geen aanpassing op dit punt.

9.7 Overige opmerkingen

Aanwijzing aanvullende sectoren

Onder meer door VNO-NCW, MKB-Nederland en VNCI is opgemerkt dat het aanwijzen van
aanvullende sectoren en daarmee aanvullende kritieke entiteiten verder gaat dan de
CER-richtlijn verplicht stelt en daarmee een nationale kop is. De reactie hierop is
als volgt. In overweging 41 van de CER-richtlijn is opgenomen dat de lijst van essentiële
diensten in de CER-richtlijn niet uitputtend is en dat lidstaten de lijst kunnen aanvullen
met andere essentiële diensten op nationaal niveau, teneinde rekening te houden met
nationale bijzonderheden bij de verlening van essentiële diensten. Gelet op het belang
voor de nationale veiligheid acht de regering het wenselijk om voor deze mogelijkheid
een grondslag op te nemen in de Wwke. Hierbij wordt opgemerkt dat indien door een
vakminister aanvullende (sub)sectoren worden aangewezen, dit bij de Europese Commissie
kenbaar zal worden gemaakt. Daarbij zal aandacht worden gevraagd voor het belang van
een solide niveau van Europese harmonisatie en het al dan niet alsnog onderbrengen
van de (sub)sectoren onder de CER-richtlijn.

Nationaal aanvullend beleid

In een aantal consultatiereacties is gevraagd om – in aanvulling op de implementatie
van de bepalingen uit de CER-richtlijn – aanvullende bepalingen in de Wwke op te nemen
die relevant kunnen zijn voor de bescherming van fysieke infrastructuur. Er wordt
bijvoorbeeld gevraagd om bepaalde artikelen uit de Cbw ook op te nemen in de Wwke.
In reactie hierop wordt gewezen op het uitgangspunt dat de CER-richtlijn beleidsneutraal
wordt geïmplementeerd. Dit betekent dat aanvullende nationale eisen of bepalingen,
die niet volgen uit de CER-richtlijn, niet worden meegenomen in dit wetsvoorstel.

Reactietermijn bevoegde autoriteit bij meldingen

In een aantal consultatiereacties, waaronder die van VNO-NCW, MKB-Nederland en VNCI,
is gevraagd waarom er geen termijn geldt voor het verstrekken van een ontvangstbevestiging
van een melding en in dat verband relevante vervolginformatie aan een kritieke entiteit
door de bevoegde autoriteit. De uitleg hierover is als volgt. Artikel 18, eerste lid,
Wwke, bepaalt dat de bevoegde autoriteit zo spoedig mogelijk een ontvangstbevestiging
en relevante informatie naar aanleiding van een melding verstrekt aan de kritieke
entiteit die de melding heeft gedaan. Het betreft een implementatie van artikel 15,
vierde lid, CER-richtlijn. Het stellen van een termijn zou de richtlijnbepaling doorkruisen.

Informatie-uitwisseling

In een aantal consultatiereacties, waaronder die van Netbeheer Nederland, NS, VNO-NCW,
MKB-Nederland, CBL, ProRail B.V. en Vewin, is gevraagd hoe de vertrouwelijkheid van
gemelde gegevens en van de lijst met kritieke entiteiten, bedoeld in artikel 11 Wwke,
wordt geborgd. In reactie hierop wordt verwezen naar de toelichting in paragraaf 6.4.6.

Daarnaast is opgemerkt om bij de uitwisseling van persoonsgegevens te regelen dat
het om «noodzakelijke gegevens» moet gaan in plaats van «benodigde gegevens», gelet
op de eisen van proportionaliteit en subsidiariteit die de Avg aan de uitwisseling
van persoonsgegevens stelt. Naar aanleiding van deze reactie is de term «benodigde
gegevens», die in diverse conceptartikelen voorkomt, vervangen door «noodzakelijke
gegevens».

Ondersteuning kritieke entiteiten

Artikel 10 CER-richtlijn biedt de mogelijkheid aan lidstaten om kritieke entiteiten
financieel te ondersteunen. In de Wwke is van deze mogelijkheid geen gebruik gemaakt.
In de consultatiereacties van onder meer VNO-NCW, MKB-Nederland, de Nederlandse Veiligheidsbranche,
ProRail B.V., NS, Vewin en de Unie van Waterschappen is gevraagd om een onderbouwing
van deze keuze.

Er is ervoor gekozen om geen specifiek kader voor financiële ondersteuning op te nemen,
nu het iedere bevoegde autoriteit (vakminister) vrij staat om op basis van bestaande
(sectorale) wettelijke kaders financiële ondersteuning toe te kennen ten laste van
de eigen begroting. De Wwke staat daar niet aan in de weg.

Kritieke entiteiten van bijzonder Europees belang

ProRail B.V. en Vattenfall vragen naar de uitvoering van een adviesmissie van de Europese
Commissie als bedoeld in artikel 18 CER-richtlijn. Hierover kan het volgende worden
toegelicht. Op dit moment wordt gewacht op de vaststelling van de uitvoeringshandeling
van de Europese Commissie met daarin onder andere de procedurele regelingen voor verzoeken
om adviesmissies te organiseren, voor de behandeling van dergelijke verzoeken, en
voor de uitvoering van dergelijke missies als bedoeld in artikel 18, vierde lid, CER-richtlijn.

Dynamische verwijzing naar de CER-richtlijn

In een aantal consultatiereacties, waaronder die van ProRail B.V., wordt opgemerkt
dat voor definities enkel naar de CER-richtlijn wordt verwezen, waardoor definities
onvoldoende duidelijk zijn. Naar aanleiding van deze reacties zijn in artikel 1 Wwke
de definities van de begrippen uit de Wwke uitgeschreven, in plaats van een verwijzing
naar de definities van die begrippen in de CER-richtlijn.

9.8 Advies Raad voor de rechtspraak

Dit wetsvoorstel is na de in paragraaf 9.1 bedoelde adviesaanvragen en consultatie
voor advies voorgelegd aan de Raad voor de rechtspraak.

De Raad voor de rechtspraak heeft geen inhoudelijke opmerkingen over het wetsvoorstel.

Ten aanzien van de rechtsbescherming adviseert de Raad voor de rechtspraak als volgt.
Voor de beoordeling van de keuze om beroepszaken in eerste aanleg bij de rechtbank
Rotterdam te concentreren, voor zover het een besluit betreft dat betrekking heeft
op een kritieke entiteit in voormelde sectoren, zoekt de Raad voor de rechtspraak
aansluiting bij haar Toetsingskader wettelijke concentratie dat is vastgesteld op
21 september 2011. Hieruit volgt volgens de Raad voor de rechtspraak dat concentratie
in dit geval mogelijk is als er specifieke deskundigheid is vereist voor de behandeling
van de beroepszaken en het gaat om een beperkt aantal zaken per jaar. In haar advies
merkt de Raad voor de rechtspraak op dat zij zich wat betreft de eis van specifieke
deskundigheid kan vinden in de toelichting zoals die bij artikel 46 Wwke (47 oud)
gegeven wordt.

Hierbij plaatst de Raad voor de rechtspraak echter als kanttekening dat niet duidelijk
is waarom de sector gezondheidszorg bij de rechtbank Rotterdam is geconcentreerd.
De Raad voor de rechtspraak wijst er op dat tegen besluiten op grond van de Wet kwaliteit,
klachten en geschillen zorg inmiddels bij alle rechtbanken beroep kan worden ingesteld.
Voorts wijst zij er op dat de Wet geneesmiddelenprijzen en de Wet marktordening gezondheidszorg,
waarvoor de rechtbank Rotterdam wel de enig bevoegde rechtbank is, niet worden genoemd
in de memorie van toelichting en dat het College van Beroep voor het bedrijfsleven
bovendien voor deze twee wetten de hoger beroepsinstantie is, terwijl het College
van Beroep voor het bedrijfsleven in het wetsvoorstel geen bijzondere bevoegdheid
voor de sector gezondheidszorg krijgt. De Raad voor de rechtspraak adviseert daarom
voor de sector gezondheidszorg geen concentratiebepaling op te nemen. Dit advies wordt
opgevolgd. Naar aanleiding van dit advies is artikel 46, eerste lid, Wwke (47, eerste
lid, oud) gewijzigd, zodat de concentratiebepaling niet geldt voor besluiten die betrekking
hebben op kritieke entiteiten in de sector gezondheidszorg.

10. Overgangsrecht en inwerkingtreding

De Wwke voorziet niet in overgangsrecht.

Met betrekking tot de inwerkingtreding van de Wwke is in artikel 48 Wwke bepaald dat
de Wwke in werking treedt op een bij koninklijk besluit te bepalen tijdstip, dat voor
de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.
Op grond van dit artikel kan worden gekozen voor een gefaseerde inwerkingtreding.
Dit is denkbaar in het geval dat bepaalde onderdelen van de Wwke nog niet in werking
kunnen treden, terwijl dat bij andere onderdelen van de Wwke wel het geval is. De
verwachting is dat bij de inwerkingtreding van (onderdelen van) de Wwke een uitzondering
wordt gemaakt op de vaste verandermomenten en de minimuminvoeringstermijn, omdat de
Wwke ziet op de implementatie van een bindende EU-rechtshandeling.

11. Transponeringstabel

Bepaling uit de Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van
14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking
van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333)

Bepaling in Wwke of bestaande regeling

Omschrijving beleidsruimte

Toelichting

Artikel 1, eerste lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het een uitleg
betreft van de inhoud van de richtlijn.

Artikel 1, tweede lid

Artikel 4 Wwke

–

–

Artikel 1, derde lid

Artikel 16 Wwke

–

–

Artikel 1, vierde lid

Artikel 34 Wwke

–

–

Artikel 1, vijfde lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het een uitleg
betreft van hetgeen de richtlijn lidstaten nadrukkelijk niet belet.

Artikel 1, zesde lid

Artikel 5 Wwke

–

–

Artikel 1, zevende lid

Artikel 24, eerste lid, Wwke

Artikel 1, zevende lid, CER-richtlijn bepaalt dat lidstaten kunnen besluiten dat bepaalde
bepalingen (over verplichtingen voor kritieke entiteiten) uit de CER-richtlijn geheel
of gedeeltelijk niet van toepassing zijn op specifieke kritieke entiteiten die activiteiten
uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of
rechtshandhaving.

Artikel 24, eerste lid, Wwke voorziet in de bevoegdheid van de vakminister tot het
ontheffen van bepaalde kritieke entiteiten van bepaalde verplichtingen. Die bevoegdheid
strekt tot de kritieke entiteiten en verplichtingen, bedoeld in artikel 1, zevende
lid, CER-richtlijn.

Artikel 1, achtste lid

Artikel 35 Wwke

–

–

Artikel 1, negende lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het een uitleg
betreft van waar de richtlijn geen afbreuk aan doet.

Artikel 2

Artikel 1 Wwke, voor zover de begrippen in de Wwke voorkomen

–

–

Artikel 3

–

De mogelijkheid om – vanwege minimumharmonisatie – nationale bepalingen te treffen
of te handhaven om het weerbaarheidsniveau van kritieke entiteiten te verhogen.

Er is geen gebruik gemaakt van deze mogelijkheid.

Artikel 4, eerste lid

De artikelen 13, eerste en vierde lid, en 45 Wwke

–

–

Artikel 4, tweede lid

Artikel 13, tweede, derde en vierde lid, Wwke

–

–

Artikel 4, derde lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op
een feitelijke handeling van de centrale overheid.

Artikel 5, eerste lid

De artikelen 6, derde lid, 9, eerste, vierde en vijfde lid, en 44 Wwke

–

–

Artikel 5, tweede lid

Artikel 9, tweede en derde lid, Wwke

–

–

Artikel 5, derde lid

Artikel 9, zesde lid, Wwke

–

–

Artikel 5, vierde lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op
een feitelijke handeling van de centrale overheid.

Artikel 5, vijfde lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 6, eerste lid

Artikel 43 Wwke

–

–

Artikel 6, tweede lid

Artikel 6, eerste en derde lid, Wwke

–

–

Artikel 6, derde lid

De artikelen 6, vijfde lid, 11, 15, vijfde lid, en 17, zevende lid, Wwke

–

–

Artikel 6, vierde lid

Artikel 27, tweede lid, Wwke

–

–

Artikel 6, vijfde lid

De artikelen 6, zevende lid, en 11, tweede lid, Wwke

–

–

Artikel 6, zesde lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 7, eerste lid

Artikel 6, tweede lid, Wwke

–

–

Artikel 7, tweede lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op
een feitelijke handeling van de centrale overheid.

Artikel 7, derde lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 8

Artikel 23 Wwke

–

–

Artikel 9, eerste lid

De artikelen 8 en 25 Wwke

De mogelijkheid om meer dan één bevoegde autoriteit aan te wijzen of op te richten.

Er is gekozen voor de aanwijzing van de vakminister als de bevoegde autoriteit voor
de sector waar hij verantwoordelijk voor is.

Artikel 9, tweede lid

Artikel 12 Wwke

De mogelijkheid om een centraal contactpunt aan te wijzen binnen een bevoegde autoriteit
en om te bepalen dat het centrale contactpunt een verbindingsfunctie vervult in de
samenwerking met de Europese Commissie en derde landen.

Er is geen gebruik gemaakt van de mogelijkheid om een centraal contactpunt aan te
wijzen binnen een bevoegde autoriteit. Er is wel gebruik gemaakt van de mogelijkheid
om te bepalen dat het centrale contactpunt een verbindingsfunctie vervult in de samenwerking
met de Europese Commissie en derde landen.

Artikel 9, derde lid

–

–

De eerste volzin behoeft geen implementatie in nationale wetgeving, omdat het ziet
op een feitelijke handeling van de centrale overheid. De tweede volzin betreft een
mogelijkheid voor de bevoegde autoriteiten dat niet hoeft te worden geïmplementeerd
in nationale wetgeving.

Artikel 9, vierde lid

De artikelen 8 tot en met 12, 18, 21, 25 tot en met 31, en 36 tot en met 40 Wwke

–

Deze bepaling behoeft voor wat betreft de bevoegdheden wel implementatie in nationale
wetgeving. De rest van de bepaling behoeft geen implementatie in nationale wetgeving,
omdat dat ziet op feitelijke handelingen van de centrale overheid.

Artikel 9, vijfde lid

Artikel 28 Wwke

–

–

Artikel 9, zesde lid

Artikel 27, eerste lid, Wwke

–

–

Artikel 9, zevende lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op
een feitelijke handeling van de centrale overheid.

Artikel 9, achtste lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 10, eerste lid

Artikel 10 Wwke

De lidstaten mogen zelf bepalen hoe zij de ondersteuning vormgeven.

–

Artikel 10, tweede lid

Artikel 10 Wwke

–

–

Artikel 10, derde lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op
een feitelijke handeling van de centrale overheid.

Artikel 11, eerste lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op
een feitelijke handeling van de centrale overheid.

Artikel 11, tweede lid

–

–

Deze bepaling ziet op een uitleg van het doel van het eerste lid.

Artikel 12, eerste lid

Artikel 14, eerste en derde lid, Wwke

–

–

Artikel 12, tweede lid

Artikel 14, eerste, tweede en vierde lid, Wwke

–

–

Artikel 13, eerste lid

Artikel 15, eerste en tweede lid, Wwke

–

–

Artikel 13, tweede lid

Artikel 15, derde lid, Wwke

–

–

Artikel 13, derde lid

Artikel 19 Wwke

–

–

Artikel 13, vierde lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 13, vijfde lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 13, zesde lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 14, eerste, tweede en derde lid

Reeds geïmplementeerd in de Wet veiligheidsonderzoeken en afdeling 5 van de Wet justitiële
en strafvorderlijke gegevens en onderliggende regelgeving

–

In het onderzoek in het kader van de aanvraag om afgifte van de verklaring omtrent
het gedrag als bedoeld in artikel 28 Wet justitiële en strafvorderlijke gegevens wordt
ook het Europees Strafregisterinformatiesysteem geraadpleegd.

Artikel 15, eerste lid

De artikelen 17, eerste, derde, vierde en vijfde lid, en 18, derde lid, Wwke

De lidstaten kunnen rekening houden met meer parameters dan in artikel 15, eerste
lid, CER-richtlijn zijn gegeven om uit te maken of de verstoring aanzienlijk is.

In artikel 17, vijfde lid, Wwke is bepaald dat bij of krachtens amvb de criteria worden
vastgesteld op basis waarvan wordt bepaald of een verstoring aanzienlijk is als bedoeld
in artikel 17, derde lid, Wwke.

Artikel 15, tweede lid

Artikel 17, tweede lid, Wwke

–

–

Artikel 15, derde lid

Artikel 18, vierde en vijfde lid, Wwke

–

–

Artikel 15, vierde lid

Artikel 18, eerste en tweede lid, Wwke

–

–

Artikel 16

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op
een aanmoediging.

Artikel 17, eerste lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op
de gevallen waarin de Europese Commissie een entiteit beschouwt als een zogeheten
kritieke entiteit van bijzonder Europees belang.

Artikel 17, tweede lid

De artikelen 20 en 21, eerste lid, Wwke

–

De laatste volzin van artikel 17, tweede lid, CER-richtlijn behoeft geen implementatie
in nationale wetgeving, omdat het ziet op een feitelijke handeling van de centrale
overheid.

Artikel 17, derde lid

Artikel 21, tweede lid, Wwke

–

–

Artikel 17, vierde lid

De artikelen 20 en 21 Wwke

–

–

Artikel 18, eerste lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 18, tweede lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 18, derde lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving, omdat het ziet op
een feitelijke handeling van de centrale overheid.

Artikel 18, vierde lid

De artikelen 21, derde lid, en 22 Wwke (voor wat betreft de laatste volzin van artikel 18,
vierde lid, CER-richtlijn)

–

Alleen de laatste volzin behoeft implementatie in nationale wetgeving. De eerste volzin
is gericht op de adviesmissie. De tweede volzin ziet op een feitelijke handeling van
de centrale overheid. De derde volzin is gericht aan de Europese Commissie.

Artikel 18, vijfde lid

–

–

De eerste alinea ziet op de samenstelling van de adviesmissie. De tweede alinea is
gericht aan de Europese Commissie.

Artikel 18, zesde lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 18, zevende lid

Reeds geïmplementeerd in artikel 5:15, derde lid, Awb

–

–

Artikel 18, achtste lid

–

–

–

Artikel 18, negende lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 18, tiende lid

–

–

Deze bepaling behoeft geen implementatie in nationale wetgeving. Deze bepaling ziet
immers deels op een feitelijke handeling van de centrale overheid en is voor het andere
deel gericht aan de Europese Commissie.

Artikel 19, eerste lid

–

–

Deze bepaling ziet op de oprichting van de Groep voor de weerbaarheid van kritieke
entiteiten en de taken van deze groep.

Artikel 19, tweede lid

–

–

Deze bepaling ziet op de samenstelling van Groep voor de weerbaarheid van kritieke
entiteiten.

Artikel 19, derde en vierde lid

–

–

Deze bepalingen zijn gericht aan de Groep voor de weerbaarheid van kritieke entiteiten.

Artikel 19, vijfde lid

–

–

Deze bepaling is gericht aan de Groep voor de weerbaarheid van kritieke entiteiten
en de NIS2-samenwerkingsgroep.

Artikel 19, zesde lid

–

–

Deze bepaling betreft een bevoegdheid van de Europese Commissie.

Artikel 19, zevende lid

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 20, eerste, tweede en derde lid

–

–

Deze bepalingen zijn gericht aan de Europese Commissie.

Artikel 21, eerste lid

Reeds geïmplementeerd in titel 5.2 Awb (voor wat betreft onderdeel a), voorts artikel 37
Wwke (voor wat betreft onderdeel b)

–

–

Artikel 21, tweede lid

Reeds geïmplementeerd in de artikelen 5:16, 5:17 en 5:20 Awb, voorts artikel 37, eerste
lid, onderdeel b, Wwke

–

Artikel 5:16 Awb verschaft aan toezichthouders een algemene bevoegdheid om inlichtingen
te vorderen. De toezichthouder moet zijn vordering motiveren en daarbij de wettelijke
grondslag noemen.1 Onderdeel van die motiveringsplicht is dat de toezichthouder motiveert waarom de
gevorderde informatie noodzakelijk is voor het uitoefenen van de toezichthoudende
taak.2

De vordering van de toezichthouder moet voldoende concreet zijn.3

Artikel 21, derde lid

De artikelen 38 en 39 Wwke, voorts artikel 5:32, eerste lid, Awb

–

Op grond van artikel 5:32, eerste lid, Awb is een bestuursorgaan dat bevoegd is een
last onder bestuursdwang op te leggen, bevoegd om in plaats daarvan een last onder
dwangsom op te leggen.

Artikel 21, vierde lid

Zie toelichting

–

Deze waarborgen zijn reeds aanwezig in het Nederlandse rechtsstelsel en zijn onder
meer gecodificeerd in de Awb.

Artikel 21, vijfde lid

Artikel 27, eerste, derde en vijfde lid, Wwke

–

–

Artikel 22

Artikel 40 Wwke

–

–

Artikel 23, eerste en tweede lid

–

–

Deze bepalingen betreffen bevoegdheden van de Europese Commissie.

Artikel 23, derde lid

–

–

Deze bepaling betreft een bevoegdheid van het Europees Parlement en de Europese Raad.

Artikel 23, vierde en vijfde lid

–

–

Deze bepalingen zijn gericht aan de Europese Commissie.

Artikel 23, zesde lid

–

–

Deze bepaling ziet op de inwerkingtreding van een gedelegeerde handeling.

Artikel 24, eerste en tweede lid

–

–

Deze bepalingen zien op bijstand aan de Europese Commissie door een comité.

Artikel 25

–

–

Deze bepaling is gericht aan de Europese Commissie.

Artikel 26, eerste lid

Zie toelichting

–

De CER-richtlijn wordt geïmplementeerd in de Wwke.

Artikel 26, tweede lid

–

–

Deze bepaling ziet op een feitelijke handeling.

Artikel 27

Zie toelichting

–

Deze bepaling vereist geen wijziging van bestaande wet- en regelgeving, omdat de in
deze bepaling genoemde richtlijn niet is geïmplementeerd in wetgeving.4

Artikel 28

–

–

Deze bepaling ziet op de inwerkingtreding van de CER-richtlijn.

Artikel 29

–

–

Deze bepaling ziet op de adressaten van de CER-richtlijn.

X Noot

1

Kamerstukken II 2004/05, 29 708, nr. 7, p. 11.

X Noot

2

Zie ook ABRvS 28 juli 2021, ECLI:NL:RVS:2021:1674, rechtsoverweging 4.2: «Gelet op
artikel 5:13 van de Awb maakt een toezichthouder slechts van zijn bevoegdheden gebruik
voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is. De inspectie
kan dus geen inzage vorderen van andere informatie dan die welke verband houden met
de wettelijke voorschriften waarop het toezicht in het concrete geval betrekking heeft.
Daarnaast moet zij motiveren waarom de gevraagde informatie noodzakelijk is voor het
uitoefenen van het toezicht.»

X Noot

3

Zie ook ABRvS 17 februari 2016, ECLI:NL:RVS:2016:378, rechtsoverweging 2.5: «Zoals
de Afdeling [bestuursrechtspraak van de Raad van State] eerder heeft overwogen (uitspraak
van 2 mei 2012 in zaak nr. 201110374/1/V6), moeten uit het oogpunt van rechtszekerheid
hoge eisen worden gesteld aan de kenbaarheid van een vordering tot het verlenen van
medewerking.»

X Noot

4

Zie Stcrt. 2010, 20996.

ARTIKELSGEWIJZE TOELICHTING

Artikel 1 (begripsbepaling)

Definities uit artikel 2 CER-richtlijn

Artikel 1 Wwke bevat de definitie van begrippen uit de Wwke. De meeste definities
in artikel 1 Wwke zijn identiek, dan wel inhoudelijk gelijk aan de definities in artikel 2
CER-richtlijn.

Definitie van entiteit

Bij de definitie van entiteit geldt het volgende. Artikel 2, onderdeel 1, CER-richtlijn
definieert een kritieke entiteit als een publieke of particuliere entiteit die overeenkomstig
artikel 6 CER-richtlijn door een lidstaat is geïdentificeerd als behorende tot één
van de categorieën die zijn vermeld in de derde kolom van de tabel in de bijlage.
De term «particuliere entiteiten» is echter niet gangbaar in het Nederlandse rechtsstelsel.
Veelal worden dergelijke entiteiten aangeduid als natuurlijke personen of rechtspersonen,
zoals in de definitie van entiteit in de NIS2-richtlijn (artikel 6, onderdeel 38,
NIS2-richtlijn). Met het oog op het aansluiten bij het huidige rechtsstelsel en tevens
het zoveel als mogelijk uniform implementeren van de CER-richtlijn en de NIS2-richtlijn
is ervoor gekozen om een definitie van entiteit te hanteren, waar enerzijds publieke
entiteiten onder vallen en anderzijds natuurlijke personen of rechtspersonen. De in
artikel 1 Wwke opgenomen definitie van entiteit is identiek aan de definitie van entiteit
uit artikel 1 Cbw.

Definitie van overheidsinstantie

De definitie van overheidsinstantie in artikel 1 Wwke is inhoudelijk gelijk aan de
definitie hiervan in artikel 2, onderdeel 10, CER-richtlijn. Op grond van artikel 1
Wwke is een entiteit een overheidsinstantie als deze overeenkomstig het nationale
recht als zodanig in een lidstaat is erkend en aan deze vier criteria voldoet:

a. zij is opgericht om te voorzien in behoeften van algemeen belang en heeft geen industrieel
of commercieel karakter;

b. zij heeft rechtspersoonlijkheid of mag volgens de wet namens een andere entiteit met
rechtspersoonlijkheid optreden;

c. zij wordt grotendeels gefinancierd door de staat, regionale autoriteiten of andere
publiekrechtelijke organen, is onderworpen aan beheerstoezicht door die autoriteiten
of organen, of heeft een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan
de leden voor meer dan de helft door de staat, regionale autoriteiten of andere publiekrechtelijke
organen worden benoemd; en

d. zij heeft de bevoegdheid om ten aanzien van natuurlijke of rechtspersonen administratieve
of regelgevende besluiten te nemen die van invloed zijn op hun rechten op het grensoverschrijdende
verkeer van personen, goederen, diensten of kapitaal.

De criteria

Criterium a betreft het doel waartoe een entiteit is opgericht. Bij een krachtens
publiekrecht ingestelde entiteit zal dit doel blijken uit de wet waarbij de entiteit
is ingesteld en de geschiedenis van de totstandkoming van die wet. Bij een privaatrechtelijke
entiteit zal het doel blijken uit de statuten. Er zijn geen limitatieve criteria om
te bepalen of een entiteit is opgericht om te voorzien in behoeften van algemeen belang
en dat het voorzien in die behoefte van algemeen belang geen industrieel of commercieel
karakter heeft. Relevante aanknopingspunten zijn of een entiteit onder normale marktomstandigheden
opereert, of deze bestuurd wordt op basis van criteria van rendement, doelmatigheid
en rentabiliteit, of de entiteit winstoogmerk als hoofddoel heeft en of deze zelf
de eigen verliezen draagt. Dergelijke omstandigheden wijzen in de richting van een
commercieel of industrieel karakter.

Criterium b vereist dat de entiteit zelf rechtspersoonlijkheid heeft of volgens de
wet mag optreden namens een andere entiteit met rechtspersoonlijkheid. Ingevolge artikel 2:1,
eerste lid, Burgerlijk Wetboek (hierna: BW) bezitten de Staat, de provincies, de gemeenten,
de waterschappen, alsmede alle lichamen waaraan krachtens de Grondwet verordenende
bevoegdheid is verleend, rechtspersoonlijkheid. Ook kan rechtspersoonlijkheid aan
een entiteit zijn toegekend in de wet waarbij de entiteit is opgericht. Verenigingen,
coöperaties, onderlinge waarborgmaatschappijen, naamloze vennootschappen, besloten
vennootschappen met beperkte aansprakelijkheid en stichtingen bezitten rechtspersoonlijkheid
ingevolge artikel 2:3 BW. Aan criterium b wordt ook voldaan indien de entiteit zelf
geen rechtspersoonlijkheid heeft, maar wel mag optreden namens een andere entiteit
met rechtspersoonlijkheid. Hierbij kan worden gedacht aan zelfstandige bestuursorganen
die namens de Staat mogen optreden. Ook Ministers mogen namens de Staat handelen.

Criterium c ziet op de vereiste betrokkenheid van de overheid bij de entiteit. Die
betrokkenheid kan verschillende vormen aannemen. Allereerst wordt aan dit criterium
voldaan indien de entiteit grotendeels door de Staat, regionale autoriteiten of andere
publiekrechtelijke organen wordt gefinancierd. De entiteit moet dus in hoofdzaak,
dat wil zeggen voor meer dan 50%, worden gefinancierd door de overheid. Op welke manier
deze financiering wordt vormgegeven, is in dat verband niet bepalend. In de tweede
plaats wordt aan dit criterium voldaan indien de entiteit onderworpen is aan beheerstoezicht
door de Staat, regionale autoriteiten of andere publiekrechtelijke organen. Dit is
het geval indien er een zekere afhankelijkheid bestaat van de entiteit ten opzichte
van die autoriteiten of organen en indien zij de beslissingen van de entiteit kunnen
beïnvloeden. Van beheerstoezicht is niet al sprake bij reguliere controle door de
overheid op de naleving van regelgeving. In de derde plaats wordt aan het criterium
voldaan indien de entiteit een bestuursorgaan, leidinggevend orgaan of toezichthoudend
orgaan heeft waarvan de leden voor meer dan de helft door de Staat, regionale autoriteiten
of andere publiekrechtelijke organen worden benoemd. Het begrip «bestuursorgaan» moet
niet worden gelezen als bestuursorgaan in de zin van artikel 1:1 Awb. Het gaat in
dit kader om het bestuur van een organisatie.35 Door middel van het benoemen van meer dan de helft van de leden van de genoemde organen,
heeft de benoemende overheidsinstantie invloed op de beslissingen die de entiteit
neemt.

Criterium d vereist allereerst dat de entiteit de bevoegdheid heeft om ten aanzien
van natuurlijke personen of rechtspersonen administratieve of regelgevende besluiten
te nemen. Het nemen van administratieve of regelgevende besluiten betreft in de Nederlandse
context het nemen van besluiten in de zin van artikel 1:3 Awb. Belangrijk daarbij
is dat de beslissingen een publiekrechtelijke rechtshandeling moeten inhouden. De
beslissingen moeten dus onder meer rechtsgevolg hebben. Concreet betekent dit dat
entiteiten die uitsluitend adviezen uitbrengen of feitelijke handelingen verrichten,
niet aan dit criterium voldoen. Een entiteit heeft niet slechts een bevoegdheid om
besluiten te nemen in de zin van dit criterium indien een bevoegdheid aan die entiteit
is geattribueerd of gedelegeerd, maar ook indien een bevoegdheid aan die entiteit
is gemandateerd. Het tweede deel van criterium d vereist dat de door de entiteit genomen
besluiten van invloed zijn op de rechten van natuurlijke personen of rechtspersonen
op het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal.
Deze passage moet ruim worden uitgelegd. In het overgrote deel van de gevallen zal
hiervan sprake zijn, ook indien sprake is van bevoegdheden met een meer nationaal
karakter of gericht op nationale aangelegenheden. Slechts indien een entiteit niet
het Unierecht (dat is gerelateerd aan één van de vier vrijheden) ten uitvoer brengt
of indien het is uitgesloten dat besluiten van de entiteit gevolgen hebben voor natuurlijke
personen of rechtspersonen buiten de lidstaat, is niet aan het tweede deel van het
criterium voldaan.

De sector overheid

De sector overheid, genoemd in de bijlage van de Wwke, bestaat uit overheidsinstanties
van de centrale overheid. Daaronder vallen in Nederland de ministeries en de daartoe
behorende dienstonderdelen en zelfstandige bestuursorganen, voor zover zij kwalificeren
als overheidsinstanties van de centrale overheid. Voor wat betreft zelfstandige bestuursorganen
die vallen onder de Kaderwet zelfstandige bestuursorganen geldt dat deze behoren tot
de centrale overheid. Artikel 1, onderdeel a, Kaderwet zelfstandige bestuursorganen
bepaalt immers dat een zelfstandig bestuursorgaan is: een bestuursorgaan van de centrale overheid dat bij de wet, krachtens de wet bij algemene maatregel van bestuur of krachtens
de wet bij ministeriële regeling met openbaar gezag is bekleed, en dat niet hiërarchisch
ondergeschikt is aan een Minister. Uiteraard zal wel moeten zijn voldaan aan de overige
vereisten van de definitie van het begrip overheidsinstantie.

Zelfstandige bestuursorganen waarop de Kaderwet zelfstandige bestuursorganen niet
van toepassing is, kunnen nog steeds onder het bereik van de Wwke vallen. Daarvoor
zal moeten worden bezien of zij onderdeel zijn van de centrale overheid en of zij
ook voor het overige voldoen aan de criteria uit de definitie van het begrip overheidsinstantie.

Overheidsinstanties op regionaal en lokaal niveau worden, onafhankelijk van de activiteiten
die zij verrichten, niet aangewezen als (publieke) kritieke entiteit in de sector
overheid. Dit neemt echter niet weg dat dergelijke overheidsinstanties op regionaal
en lokaal niveau wel binnen een andere sector uit de bijlage van de Wwke kunnen vallen
en via die sector kunnen worden aangewezen als kritieke entiteit, waardoor de verplichtingen
uit de Wwke via die route op hen van toepassing zijn.

Artikel 2 (doel van deze wet)

In artikel 2 Wwke is het doel van de Wwke omschreven. Hetgeen in artikel 2 Wwke is
opgenomen, is ontleend aan artikel 1, eerste lid, en de overwegingen 1 tot en met
8 van de CER-richtlijn.

Artikel 3 (uitvoering uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren)

De CER-richtlijn bevat diverse grondslagen om uitvoeringshandelingen, gedelegeerde
handelingen en richtsnoeren vast te stellen. Indien deze worden vastgesteld, is het
mogelijk dat er in nationale wet- en regelgeving regels nodig zijn ter uitvoering
daarvan. Artikel 3 Wwke bevat daarom een delegatiegrondslag om bij of krachtens amvb
regels te kunnen stellen ter uitvoering van de op grond van de CER-richtlijn vastgestelde
uitvoeringshandelingen, gedelegeerde handelingen en richtsnoeren. Dit betreft een
facultatieve grondslag, omdat de mogelijkheid bestaat dat niet alle op grond van de
CER-richtlijn vastgestelde uitvoeringshandelingen, gedelegeerde handelingen of richtsnoeren
nopen tot het stellen van regels ter uitvoering daarvan.

Artikel 4 (netwerk- en informatiesystemen en de fysieke componenten en omgevingen
daarvan)

In artikel 4 Wwke is geregeld dat de Wwke niet van toepassing is op aangelegenheden
waarop de Cbw van toepassing is. Dit artikel betreft de implementatie van artikel 1,
tweede lid, CER-richtlijn. Paragraaf 2.3 gaat in op hoe de Wwke en de Cbw zich tot
elkaar verhouden.

Artikel 5 (overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied
van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving)

Artikel 5 Wwke strekt tot de implementatie van artikel 1, zesde lid, CER-richtlijn.
Overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale
veiligheid, openbare veiligheid, defensie of rechtshandhaving vallen niet onder het
toepassingsbereik van de CER-richtlijn en worden daarom in artikel 5 Wwke uitgezonderd
van het toepassingsbereik van de Wwke. Deze activiteiten vallen namelijk binnen de
uitsluitende verantwoordelijkheid van lidstaten. Artikel 5 Wwke ziet alleen op overheidsinstanties
die in hoofdzaak deze activiteiten uitvoeren. Overheidsinstanties die activiteiten
verrichten die daar slechts zijdelings verband mee houden vallen wél onder het bereik
van de Wwke.

Artikel 5 Wwke sluit aan op artikel 5, eerste lid, Cbw, waarin een soortgelijke bepaling
uit de NIS2-richtlijn (artikel 2, zevende lid, NIS2-richtlijn) is geïmplementeerd.

Artikel 6 (aanwijzing kritieke entiteit)

Artikel 6 Wwke gaat over de aanwijzing van een entiteit als kritieke entiteit.

Criteria voor aanwijzing als kritieke entiteit

Een entiteit wordt aangewezen als kritieke entiteit als zij voldoet aan alle criteria
uit artikel 6, eerste en tweede lid, Wwke. Het gaat om de volgende criteria:

• De entiteit verleent één of meer essentiële diensten. Een essentiële dienst is een
dienst die van cruciaal belang is voor de instandhouding van vitale maatschappelijke
functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het
milieu (zie artikel 1 Wwke).

• De entiteit is actief in Nederland en haar kritieke infrastructuur bevindt zich in
Nederland. Hiermee wordt bedoeld dat de entiteit en haar kritieke infrastructuur,
geheel of gedeeltelijk, actief is op het grondgebied van Nederland (inclusief het
luchtruim en de maritieme binnenwateren en territoriale zee) en dat de activiteiten
van de entiteit noodzakelijk zijn om de betreffende essentiële dienst of diensten
te verlenen.

• Een incident zou aanzienlijke verstorende effecten hebben op de verlening van de essentiële
dienst(en) door deze entiteit of van andere essentiële diensten via cascade-effecten.
Bij het bepalen of een verstorend effect aanzienlijk is, wordt rekening gehouden met
de volgende criteria:

a. het aantal gebruikers dat afhankelijk is van de door de betrokken entiteit verleende
essentiële dienst;

b. de mate waarin andere sectoren en subsectoren, genoemd in de bijlage van de Wwke,
en, indien van toepassing, andere sectoren en subsectoren die zijn aangewezen op grond
van artikel 7, eerste lid, Wwke afhankelijk zijn van de betrokken essentiële dienst;

c. de ernst en duur van de gevolgen die incidenten kunnen hebben voor economische en
maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging,
of de volksgezondheid;

d. het marktaandeel van de entiteit op de markt voor de betrokken essentiële dienst;

e. het geografische gebied dat door een incident kan worden getroffen, met inbegrip van
eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die
samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals
insulaire regio’s, afgelegen regio’s of bergachtige gebieden;

f. het belang van de entiteit om de essentiële dienst op een voldoende niveau te houden,
rekening houdend met de beschikbare alternatieven voor het verlenen van die essentiële
dienst.

Delegatiegrondslag

In artikel 6, vierde lid, Wwke is een delegatiegrondslag opgenomen die de vakminister,
na overleg met de Minister van Justitie en Veiligheid, de mogelijkheid biedt om bij
ministeriële regeling regels te stellen over de invulling van de aspecten die in aanmerking
moeten worden genomen om te bepalen of een verstoring aanzienlijk is als bedoeld in
artikel 6, tweede lid, Wwke. Deze invulling kan per sector, subsector en categorie
van entiteiten verschillen en kan bijvoorbeeld worden uitgedrukt in een bepaald bedrag
aan financiële of economische schade, aantallen betrokken of getroffen personen, of
de capaciteitsimpact op de levering van de essentiële dienst.

Aanwijzing door de vakminister

Het aanwijzen van kritieke entiteiten is de verantwoordelijkheid van de vakminister
die verantwoordelijk is voor de sector waarbinnen een entiteit activiteiten verricht.
De aanwijzing geschiedt bij regeling of besluit, na overleg met de Minister van Justitie
en Veiligheid als coördinerend bewindspersoon. Bij de aanwijzing vermeldt de vakminister
vanaf wanneer de kritieke entiteit dient te voldoen aan verplichtingen en om welke
verplichtingen het gaat.

Aanwijzing bij regeling of besluit

De aanwijzing betreft een besluit in de zin van artikel 1:3 Awb. Dit betekent dat
de vakminister bij de aanwijzing moet voldoen aan de in de Awb gestelde eisen aan
besluitvorming door bestuursorganen en dat tegen het aanwijzingsbesluit bestuursrechtelijke
rechtsbescherming open staat. Dit geldt ook indien de vakminister ervoor kiest om
een entiteit bij regeling aan te wijzen als kritieke entiteit. Ook dan gelden dus
onverkort de hiervoor bedoelde eisen uit de Awb en bestuursrechtelijke rechtsbescherming.

Intrekking aanwijzing

Als een entiteit niet langer voldoet aan de voorwaarden om aangewezen te worden als
kritieke entiteit, genoemd in artikel 6, eerste lid, Wwke, trekt de vakminister de
aanwijzing in. Dit is geregeld in artikel 6, zevende lid, Wwke. De intrekking van
de aanwijzing als kritieke entiteit heeft tot gevolg dat de verplichtingen uit de
Wwke die gelden voor kritieke entiteiten dan niet meer van toepassing zijn op de betrokken
entiteit, aangezien de entiteit na de intrekking immers geen kritieke entiteit in
de zin van de Wwke meer is.

Artikel 7 (aanwijzing sector, subsector en categorie van entiteiten)

In overweging 41 van de CER-richtlijn is opgenomen dat de lijst van essentiële diensten
in de CER-richtlijn niet uitputtend is en dat lidstaten de lijst kunnen aanvullen
met andere essentiële diensten op nationaal niveau, teneinde rekening te houden met
nationale bijzonderheden bij de verlening van essentiële diensten. Gelet op het belang
voor de nationale veiligheid is het wenselijk om voor deze mogelijkheid een grondslag
op te nemen in de Wwke. Dit is geregeld in artikel 7 Wwke. Op grond van artikel 7
Wwke kan de vakminister, in aanvulling op de in de bijlage van de Wwke opgenomen sectoren,
subsectoren en categorieën van entiteiten, aanvullende sectoren, subsectoren en categorieën
van entiteiten aanwijzen, na overleg met de Minister van Justitie en Veiligheid als
coördinerend bewindspersoon. Daarbinnen kunnen op grond van artikel 6, eerste lid,
Wwke kritieke entiteiten worden aangewezen.

Hierbij wordt opgemerkt dat indien door een vakminister aanvullende (sub)sectoren
worden aangewezen, dit bij de Europese Commissie kenbaar zal worden gemaakt. Daarbij
zal aandacht worden gevraagd voor het belang van een solide niveau van Europese harmonisatie
en het al dan niet alsnog onderbrengen van de (sub)sectoren onder de CER-richtlijn.

In de gevallen dat de Minister van Justitie en Veiligheid op grond van artikel 7 Wwke
sectoren of subsectoren die onder zijn beleidsverantwoordelijkheid vallen aanwijst,
treedt die Minister op als «Onze Minister die het aangaat» en niet als «Onze Minister».

Bij de identificatie van sectoren, subsectoren en categorieën van entiteiten wordt
rekening gehouden met de nationale strategie (artikel 13 Wwke) en de resultaten van
de sectorale risicobeoordeling (artikel 9 Wwke). Daarnaast is in artikel 7 Wwke aangesloten
bij een aantal criteria uit artikel 6, tweede lid, Wwke voor de beoordeling of een
verstorend effect aanzienlijk is. Deze criteria betreffen:

a. de mate waarin andere sectoren en subsectoren, genoemd in de bijlage van de Wwke,
afhankelijk zijn van de essentiële dienst of diensten van entiteiten in de sector
of subsector;

b. de ernst en duur van de gevolgen die incidenten in de sector of subsector kunnen hebben
voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid
en beveiliging, of de volksgezondheid; en

c. het geografische gebied dat door een incident in de sector of subsector kan worden
getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend
met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten
geografische gebieden, zoals insulaire regio’s, afgelegen regio’s of bergachtige gebieden.

Deze criteria komen ook voor in de sectorale risicobeoordeling, komen in praktijk
overeen met de vitaalbeoordeling zoals beschreven in hoofdstuk 3 en sluiten hiermee
aan op de huidige gangbare praktijk om vitale aanbieders te identificeren.

Artikel 8 (aanwijzing en taken bevoegde autoriteit)

Artikel 8 Wwke ziet op de aanwijzing en taken van de in artikel 9, eerste lid, CER-richtlijn
bedoelde bevoegde autoriteit. De vakministers worden in artikel 8, eerste en tweede
lid, Wwke aangewezen als bevoegde autoriteit voor de kritieke entiteiten in de sectoren
en subsectoren die zijn opgenomen in de bijlage van de Wwke en voor de kritieke entiteiten
in de sectoren die op grond van artikel 7, eerste lid, Wwke zijn aangewezen. De taken
van de bevoegde autoriteit zijn opgenomen in artikel 8, derde lid, Wwke. Paragraaf 5.7
gaat nader in op de taken van de bevoegde autoriteit.

Artikel 9 (risicobeoordeling door de bevoegde autoriteit)

Artikel 9 Wwke strekt tot de implementatie van artikel 5 CER-richtlijn en ziet op
de verplichting voor de bevoegde autoriteit om een risicobeoordeling uit te voeren.
Deze verplichting zal in de praktijk worden uitgevoerd door de vakministers, na overleg
met de Minister van Justitie en Veiligheid als coördinerend bewindspersoon. Paragraaf 5.1
gaat ook in op deze risicobeoordeling.

Alle relevante natuurlijke en door de mens veroorzaakte risico’s

In artikel 9, eerste lid, Wwke is bepaald dat de risicobeoordeling moet zien op alle
relevante natuurlijke en door de mens veroorzaakte risico’s die tot een incident zouden
kunnen leiden. De bevoegde autoriteit (vakminister) moet bij de risicobeoordeling
ieder geval rekening houden met sectoroverschrijdende of grensoverschrijdende risico’s,
ongevallen, natuurrampen, noodsituaties op het gebied van de volksgezondheid en hybride
dreigingen of andere antagonistische dreigingen. Onder antagonistische dreigingen
worden opzettelijke activiteiten verstaan die illegaal en vijandig zijn, zoals terroristische
misdrijven, criminele infiltratie, diefstal en sabotage.

Aangezien de daadwerkelijke relevante risico’s afhankelijk zijn van een facet aan
factoren die niet altijd op voorhand te bepalen zijn, waaronder het geopolitieke speelveld,
de technologische ontwikkelingen en de verwevenheid van sectoren, zal aan de hand
van de dan actuele en relevante informatie doorlopend moeten worden beoordeeld wat
de risico’s zijn die in de risicobeoordeling moeten worden meegenomen en in welke
mate. De bevoegde autoriteit (vakminister) moet daarbij in ieder geval rekening houden
met de reeds bestaande nationale risicoanalyses en dreigingsbeelden, zoals de Rijksbrede
Risicoanalyse Nationale Veiligheid, het Cybersecuritybeeld Nederland (CSBN), het Dreigingsbeeld
Statelijke Actoren (DBSA) en het Dreigingsbeeld Terrorisme Nederland (DTN). Ook moet
de bevoegde autoriteit (vakminister) rekening houden met de risicobeoordelingen en
informatie afkomstig van de EU, waaronder in ieder geval de risicobeoordelingen, bedoeld
in artikel 9, tweede lid, onderdeel a, Wwke.

Nationale en internationale samenwerking

De bevoegde autoriteit (vakminister) deelt de resultaten van de risicobeoordeling
met de Minister van Justitie en Veiligheid in zijn hoedanigheid als het centrale contactpunt,
waardoor aldaar een overkoepelend beeld ontstaat van de geïdentificeerde risico’s
per sector en subsector. Een (geaggregeerd) overzicht van de relevante resultaten
per sector en subsector wordt periodiek door de Minister van Justitie en Veiligheid
in zijn hoedanigheid als het centrale contactpunt met de Europese Commissie gedeeld.
Daarnaast zal het overkoepelend beeld worden meegenomen in de actualisatie van de
nationale strategie (die op grond van artikel 13 Wwke moet worden vastgesteld door
de Minister van Justitie en Veiligheid), in de beleidsontwikkeling van de Aanpak vitaal
en bij het eventueel ontwikkelen van sectoroverstijgende maatregelen ter verhoging
van de weerbaarheid.

Frequentie

De bevoegde autoriteit (vakminister) moet de risicobeoordeling ten minste elke vier
jaar uitvoeren (artikel 9, vijfde lid, Wwke). De risicobeoordeling kan ook eerder
worden uitgevoerd als hiertoe aanleiding bestaat, bijvoorbeeld als gevolg van nationale
of Europese actualiteiten, ontwikkelingen of dreigingen. Dit komt overeen met de reeds
bestaande cyclus vitaal.

Verstrekking informatie uit risicobeoordeling aan kritieke entiteit

De bevoegde autoriteit (vakminister) moet relevante informatie uit haar risicobeoordeling
verstrekken aan de kritieke entiteit in de betrokken sector (artikel 9, zesde lid,
Wwke). Dit is van belang, omdat de kritieke entiteit rekening moet houden met die
risicobeoordeling bij het uitvoeren van de eigen risicobeoordeling en het voldoen
aan de zorgplicht. Hierbij geldt uiteraard dat de vertrouwelijkheid van de uit te
wisselen informatie in acht moet worden genomen.

Artikel 10 (ondersteuning aan kritieke entiteiten)

Artikel 10 Wwke betreft de implementatie van artikel 10 CER-richtlijn. In de laatstgenoemde
bepaling worden lidstaten verplicht om kritieke entiteiten te ondersteunen bij het
vergroten van hun weerbaarheid en bij de naleving van de verplichtingen die volgen
uit de CER-richtlijn. Paragraaf 5.8 gaat in op deze ondersteuning.

Artikel 10, derde lid, Wwke voorziet in de grondslag om in lagere regelgeving (sectorspecifieke)
regels te stellen over de samenwerking en ondersteuning.

Artikel 11 (lijst van kritieke entiteiten)

Artikel 11 Wwke betreft de implementatie van artikel 6, derde en vijfde lid, CER-richtlijn
en ziet op het opstellen van een lijst van geïdentificeerde kritieke entiteiten. In
de Wwke wordt dit geïmplementeerd als een verplichting van de bevoegde autoriteit
(vakminister) om de lijst op te stellen. Er is ervoor gekozen om deze verplichting
te beleggen bij de bevoegde autoriteit (vakminister), omdat zij beschikt over de benodigde
informatie vanwege de verantwoordelijkheid voor het identificeren en aanwijzen van
kritieke entiteiten.

De identificatie van kritieke entiteiten en de evaluatie hiervan zal periodiek en
ten minste elke vier jaar plaatsvinden, al dan niet in lijn met de sectorale risicobeoordeling
en de nationale strategie die ook ten minste elke vier jaar worden uitgevoerd en opgesteld.
De bevoegde autoriteit (vakminister) zal aan de hand van de evaluatie de lijst van
kritieke entiteiten waar nodig actualiseren, zoals wordt voorgeschreven in artikel 11,
tweede lid, Wwke. Indien uit de evaluatie blijkt dat een kritieke entiteit niet meer
voldoet aan de criteria om aangewezen te worden als kritieke entiteit, zal de bevoegde
autoriteit (vakminister) de aanwijzing intrekken op grond van artikel 6, zevende lid,
Wwke.

Artikel 12 (aanwijzing en taken centraal contactpunt)

Artikel 9, tweede lid, CER-richtlijn verplicht lidstaten tot het aanwijzen van een
nationaal centraal contactpunt en bevat een omschrijving van de taken van dat contactpunt.
In artikel 12 Wwke wordt de Minister van Justitie en Veiligheid aangewezen als dat
centrale contactpunt en zijn de hiervoor bedoelde taken opgenomen. Zie paragraaf 5.6
voor een toelichting op de keuze voor de Minister van Justitie en Veiligheid en een
beschrijving van de taken van het centrale contactpunt.

Artikel 13 (strategie inzake de weerbaarheid van kritieke entiteiten)

Op grond van artikel 13 Wwke moet de Minister van Justitie en Veiligheid in overeenstemming
met de vakministers een strategie vaststellen om de weerbaarheid van kritieke entiteiten
te verbeteren. In artikel 13, tweede lid, Wwke is bepaald welke elementen de strategie
ten minste moet bevatten. De hierin genoemde elementen zijn de elementen die worden
genoemd in artikel 4, tweede lid, CER-richtlijn.

Voordat de Minister van Justitie en Veiligheid de strategie vaststelt of actualiseert,
consulteert hij eerst in overeenstemming met de vakministers de relevante betrokken
partijen, waaronder eventueel overheidspartijen. De Veiligheidsstrategie voor het
Koninkrijk der Nederlanden beschrijft de acties en ambities van het kabinet voor de
periode 2023–2029 en vormt de basis voor de strategie om de weerbaarheid van kritieke
entiteiten te verbeteren.

Artikel 14 (risicobeoordeling door de kritieke entiteit)

Risicobeoordeling door de kritieke entiteit

Kritieke entiteiten moeten op grond van artikel 14, eerste lid, Wwke een risicobeoordeling
uitvoeren op basis van de relevante informatie uit de risicobeoordeling van de bevoegde
autoriteit (vakminister) en andere relevante informatiebronnen. Zij moeten in het
kader daarvan alle relevante door de natuur en door de mens veroorzaakte risico’s
die de verlening van hun essentiële dienst of diensten kunnen verstoren, beoordelen.

Een risico is in artikel 1 Wwke gedefinieerd als de mogelijkheid van verlies of verstoring
als gevolg van een incident; dat wordt uitgedrukt als een combinatie van de omvang
van een dergelijk verlies of een dergelijke verstoring en de waarschijnlijkheid dat
het incident zich voordoet. Een risico wordt dus uitgedrukt als de waarschijnlijkheid
dat een incident plaatsvindt en de impact die dit incident heeft.

Artikel 14, eerste lid, Wwke bevat een opsomming van de risico’s die kritieke entiteiten
in ieder geval moeten beoordelen. Daarbij gaat het onder meer om risico’s van sectoroverschrijdende
of van grensoverschrijdende aard, risico’s op ongevallen en risico’s op natuurrampen.
Uit artikel 14, tweede lid, Wwke volgt dat kritieke entiteiten in de risicobeoordeling
ook moeten meewegen, voor zover informatie hierover redelijkerwijs voorhanden is,
in hoeverre andere in de Wwke genoemde sectoren afhankelijk zijn van de door de kritieke
entiteit verleende essentiële dienst. Ook moeten zij meewegen in hoeverre zij zelf
afhankelijk zijn van essentiële diensten van andere entiteiten in andere sectoren.
Het kan hierbij ook gaan om afhankelijkheden buiten Nederland.

Bronnen

Artikel 14, eerste lid, Wwke bepaalt dat een kritieke entiteit haar risicobeoordeling
moet uitvoeren op basis van de relevante informatie uit de risicobeoordeling van de
bevoegde autoriteit (vakminister) en andere relevante informatiebronnen. Voor wat
betreft dat laatste kan het gaan om openbare sectorale analyses, periodieke risicoanalyses
voor de vitale infrastructuur of andersoortige periodieke dreigingsbeelden. Dit zijn
in ieder geval de door de Minister van Justitie en Veiligheid opgestelde of aangeboden
Rijksbrede Risicoanalyse Nationale Veiligheid en andere relevante periodieke risicoanalyses,
zoals het Cybersecuritybeeld Nederland (CSBN), het Dreigingsbeeld Statelijke Actoren
(DBSA) en het Dreigingsbeeld Terrorisme Nederland (DTN).

Hierbij geldt dat niet alle informatie over afhankelijkheden openbaar en toegankelijk
is. De risicobeoordeling van andere kritieke entiteiten zijn immers vertrouwelijk
en kunnen bedrijfsgevoelige gegevens bevatten. De kritieke entiteit kan dus alleen
gebruik maken van redelijkerwijs toegankelijke informatie, zoals openbare bronnen,
informatie verkregen uit hiervoor expliciet overeengekomen samenwerking met andere
kritieke entiteiten en/of vertrouwelijke informatieproducten van de bevoegde autoriteit
en/of andere overheidsinstanties.

Frequentie

De risicobeoordeling moet periodiek worden uitgevoerd en herzien. In artikel 14, derde
lid, Wwke is bepaald dat de eerste risicobeoordeling binnen negen maanden na de aanwijzing
als kritieke entiteit moet worden uitgevoerd door die entiteit. Vervolgens moet de
risicobeoordeling ten minste om de vier jaar opnieuw worden uitgevoerd, of eerder,
wanneer daartoe aanleiding is. Die aanleiding kan er bijvoorbeeld zijn als gevolg
van actualiteiten, ontwikkelingen of dreigingen. Deze inschatting wordt in eerste
instantie gemaakt door de kritieke entiteit, maar ook de bevoegde autoriteit (vakminister
en toezichthoudende instantie) kan van oordeel zijn dat er aanleiding is voor een
eerdere uitvoering van de risicobeoordeling door de kritieke entiteit.

Nadere regels

Artikel 14, vijfde lid, Wwke bevat een delegatiegrondslag om in lagere regelgeving
regels te kunnen stellen over de uitvoering en inhoud van de risicobeoordeling door
kritieke entiteiten en de elementen die daarin van belang worden geacht. Hierbij kan
worden gedacht aan specifieke dreigingen en risico’s die expliciet in aanmerking moeten
worden genomen bij de toepassing van de risicobeoordeling door de kritieke entiteit.
Dit kan bijvoorbeeld het geval zijn naar aanleiding van informatie die voortvloeit
uit de risicobeoordeling van de bevoegde autoriteit (vakminister) of het actuele dreigingsbeeld.

Artikel 15 (zorgplicht)

Artikel 15 Wwke strekt tot de implementatie van artikel 13, eerste en tweede lid,
CER-richtlijn en ziet op de zorgplicht voor kritieke entiteiten. Paragraaf 5.4 gaat
in op deze verplichting.

Beschrijving van de maatregelen

In artikel 15, derde lid, Wwke is bepaald dat kritieke entiteiten de maatregelen die
zij op grond van artikel 15, eerste lid, Wwke moeten nemen, moeten beschrijven. Zij
zijn vrij in de vorm van die beschrijving. Zo kan de beschrijving worden opgenomen
in een (afzonderlijk) document, maar ook systemen of andere documentvormen zijn mogelijk.
Verder kan het gaan om reeds opgestelde documenten of andersoortige beschrijvingen,
zoals een veiligheidsplan, beveiligingsplan, risicobeheersplan, crisisplan of bedrijfscontinuïteitplan
in verband met andere (wettelijke) verplichtingen waarmee eveneens aan de voorschriften
van artikel 15 Wwke wordt voldaan. Indien kritieke entiteiten reeds documenten hebben
opgesteld of maatregelen hebben genomen op grond van verplichtingen die zijn vastgelegd
in andere rechtshandelingen, mogen zij die documenten en maatregelen gebruiken om
aan deze bepaling te voldoen.

Delegatiegrondslag

In artikel 15, vierde lid, Wwke is bepaald dat bij of krachtens amvb regels worden
gesteld over de maatregelen die kritieke entiteiten in het kader van de zorgplicht
moeten nemen en dat eisen kunnen worden gesteld aan entiteiten met betrekking tot
die maatregelen. Deze delegatiegrondslag biedt de mogelijkheid om in een amvb te voorzien
in een delegatiegrondslag om bij ministeriële regeling van de vakminister, indien
nodig, (sector)specifieke regels te stellen over de maatregelen of (sector)specifieke
eisen te stellen aan entiteiten met betrekking tot die maatregelen.

Met de delegatiegrondslag in artikel 15, vierde lid, Wwke kunnen ook waar nodig regels
worden gesteld die nodig zijn ter implementatie van uitvoeringshandelingen van de
Europese Commissie over technische en methodologische specificaties als bedoeld in
artikel 13, zesde lid, CER-richtlijn.

Verder biedt de delegatiegrondslag de mogelijkheid om bij of krachtens amvb eventuele
samenloop te regelen met andere EU-rechtshandelingen of internationale verdragen.
Als de verplichtingen uit de CER-richtlijn van toepassing zijn naast die van een andere EU-rechtshandeling (omdat de uit die EU-rechtshandeling voortvloeiende
verplichtingen niet ten minste gelijkwaardig zijn aan de uit de CER-richtlijn voortvloeiende
verplichtingen) of van een internationaal verdrag, kan het nodig zijn om dubbele verplichtingen
en complicaties in de uitvoering en het toezicht te vermijden. Door bij of krachtens
amvb te duiden hoe alle relevante verplichtingen zich tot elkaar verhouden en deze
waar mogelijk te integreren op uitvoeringsniveau, kan worden bijgedragen aan de rechtszekerheid
en het beperken van de uitvoeringslasten.

Artikel 16 (sectorspecifieke rechtshandelingen van de Europese Unie)

Artikel 16 Wwke strekt tot de implementatie van artikel 1, derde lid, CER-richtlijn.
In de laatstgenoemde bepaling is bepaald dat wanneer bepalingen van sectorspecifieke
rechtshandelingen van de EU voorschrijven dat kritieke entiteiten maatregelen moeten
nemen om hun weerbaarheid te vergroten, en wanneer die voorschriften door de lidstaten
worden erkend als ten minste gelijkwaardig aan de in de CER-richtlijn overeenkomende
verplichtingen, de desbetreffende bepalingen van de CER-richtlijn niet van toepassing
zijn. Meer concreet gaat het hierbij om de zorgplicht. De andere verplichtingen uit
de Wwke zijn dus wel van toepassing op die entiteiten. In artikel 16 Wwke is bepaald
dat de erkenning van de (ten minste) gelijkwaardigheid van de maatregelen uit sectorspecifieke
rechtshandelingen van de EU wordt belegd bij de vakminister.

Artikel 17 (meldplicht)

Artikel 17 Wwke strekt tot de implementatie van artikel 15, eerste lid, eerste alinea,
en tweede lid, CER-richtlijn en ziet op de meldplicht voor kritieke entiteiten. Paragraaf 5.5
gaat in op deze verplichting.

Aanzienlijke verstoringen

Artikel 17, eerste lid, Wwke verplicht kritieke entiteiten om zonder onnodige vertraging
incidenten, die de verlening van hun essentiële diensten verstoren of kunnen verstoren,
te melden bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie).
Om te bepalen of een verstoring aanzienlijk is, neemt de kritieke entiteit in elk
geval de aspecten genoemd in artikel 17, derde lid, Wwke in aanmerking. Die aspecten
betreffen: het aantal door de verstoring getroffen gebruikers en hun aandeel daarin,
de duur van de verstoring en het door het incident getroffen geografische gebied.
In artikel 17, vijfde lid, Wwke is bepaald dat bij of krachtens amvb de criteria worden
vastgesteld op basis waarvan wordt bepaald of een verstoring aanzienlijk is als bedoeld
in artikel 17, derde lid, Wwke. Die criteria staan ook bekend als drempelwaarden.
Drempelwaarden kunnen per sector, subsector of categorie van entiteiten verschillen
en kunnen bijvoorbeeld worden uitgedrukt in een bepaald bedrag aan financiële of economische
schade, aantallen betrokken of getroffen personen, of de capaciteitsimpact op de levering
van de essentiële dienst.

Gedetailleerd verslag

Op grond van artikel 17, vierde lid, Wwke moet de kritieke entiteit binnen één maand
na de eerste melding van het incident een gedetailleerd verslag indienen bij de bevoegde
autoriteit (vakminister en/of toezichthoudende instantie). Het gedetailleerde verslag
dient ter aanvulling op de eerste melding en geeft een vollediger beeld van het incident;
over de impact, aard, oorzaak en de gevolgen ervan. Dit stelt de bevoegde autoriteit
(vakminister en/of toezichthoudende instantie) in staat om beter te beoordelen of
en zo ja, op welke punten lering kan worden getrokken om toekomstige incidenten waar
mogelijk te voorkomen of de gevolgen ervan te beperken.

Wijze waarop melding moet worden gedaan

Artikel 17, vijfde lid, Wwke bevat de grondslag om bij of krachtens amvb nadere regels
te stellen, onder meer over de wijze waarop een melding moet worden gedaan. Te denken
valt aan eisen omtrent een elektronisch formulier.

Artikel 18 (taken bevoegde autoriteit en centraal contactpunt na melding)

Artikel 18 Wwke strekt tot de implementatie van artikel 15, derde en vierde lid, en
de laatste zin van het eerste lid, CER-richtlijn.

Artikel 18, eerste en tweede lid, Wwke zien op de taken van de bevoegde autoriteit
(vakminister en/of toezichthoudende instantie) ten aanzien van de kritieke entiteit
die melding heeft gedaan van een incident en het informeren van het publiek over dat
incident.

Artikel 18, derde lid, Wwke ziet op het informeren van de Europese Commissie over
incidenten met – kort gezegd – aanzienlijke grensoverschrijdende gevolgen, die bij
de bevoegde autoriteit (vakminister en/of toezichthoudende instantie) zijn gemeld.
Dat geschiedt middels het centrale contactpunt. In artikel 12 Wwke is de Minister
van Justitie en Veiligheid aangewezen als het centrale contactpunt en het is aan deze
Minister om de gegevens over het incident, zodra het is ontvangen van de bevoegde
autoriteit, door te zetten naar de Europese Commissie. Er is, in aanvulling op hetgeen
artikel 15, eerste lid, laatste volzin, CER-richtlijn voorschrijft, ervoor gekozen
om deze kennisgeving via het centrale contactpunt (Minister van Justitie en Veiligheid)
te laten lopen. Dit sluit immers aan bij de taak van het vervullen van een verbindingsfunctie
van het centrale contactpunt met de Europese Commissie die volgt uit artikel 12, onderdeel
a, Wwke.

Incidenten die aanzienlijke gevolgen hebben of kunnen hebben voor kritieke entiteiten
en voor de continuïteit van de verlening van essentiële diensten aan of in één of
meer andere lidstaten moeten ook bekend worden gemaakt aan de lidstaten die daardoor
worden getroffen. Daarom regelt artikel 18, vierde lid, Wwke dat wanneer zulke incidenten
worden gemeld bij de bevoegde autoriteit (vakminister en/of toezichthoudende instantie),
zij het centrale contactpunt (Minister van Justitie en Veiligheid) daarover moet informeren.
Het is vervolgens de taak van het centrale contactpunt (Minister van Justitie en Veiligheid)
om de centrale contactpunten van de getroffen lidstaten te informeren over dat incident.

Op grond van artikel 18, vijfde lid, Wwke moet het centrale contactpunt (Minister
van Justitie en Veiligheid) zorgvuldig omgaan bij de ontvangst van de hiervoor bedoelde
informatie en bij de verzending van deze informatie aan de centrale contactpunten
van andere getroffen lidstaten.

Naast het ontvangen van informatie van de bevoegde autoriteit en het verstrekken daarvan
aan de centrale contactpunten van andere lidstaten of de Europese Commissie, kan het
centrale contactpunt (Minister van Justitie en Veiligheid) ook informatie ontvangen
van centrale contactpunten van andere lidstaten. Het kan daarbij gaan om informatie
van een andere lidstaat over een gemeld incident dat mogelijk aanzienlijke gevolgen
heeft of kan hebben voor kritieke entiteiten in Nederland. Als uit die gegevens blijkt
dat dat incident aanzienlijke gevolgen heeft of kan hebben voor de continuïteit van
een essentiële dienst in Nederland, dan moet het centrale contactpunt (Minister van
Justitie en Veiligheid) op grond van artikel 18, zesde lid, Wwke de betrokken bevoegde
autoriteit (vakminister) en, indien van toepassing, de betrokken entiteit daarvan
op de hoogte stellen. Die informatie kan van belang zijn voor de bevoegde autoriteit
(vakminister) voor het informeren van derden, waaronder andere entiteiten, zodat die
derden op basis van de verstrekte informatie alert zijn op eventuele gevolgen of gelijksoortige
incidenten en eventueel maatregelen kunnen treffen.

Artikel 19 (aanwijzing verbindingsfunctionaris)

Artikel 19 Wwke strekt tot de implementatie van artikel 13, derde lid, CER-richtlijn.
Op grond van artikel 19 Wwke moet een kritieke entiteit een verbindingsfunctionaris
of een gelijkwaardige functionaris aanwijzen als het contactpunt met de bevoegde autoriteiten.
Gevolg hiervan is dat de bevoegde autoriteiten beschikken over een overzicht van functionarissen
van kritieke entiteiten die vallen onder hun sectorale verantwoordelijkheid.

Artikel 20 (kennisgeving verlening essentiële diensten aan of in zes of meer lidstaten)

Sommige kritieke entiteiten verlenen essentiële diensten aan of in zes of meer lidstaten.
Deze kritieke entiteiten moeten op grond van artikel 20 Wwke de bevoegde autoriteit
(vakminister) daarover informeren. Daarbij moeten zij ook kenbaar maken om welke essentiële
diensten en lidstaten het gaat. Dit artikel betreft de implementatie van artikel 17,
tweede lid, eerste en tweede volzin, CER-richtlijn.

Artikel 21 (taken bevoegde autoriteit en centraal contactpunt ten aanzien van kritieke
entiteit van bijzonder Europees belang)

Eerste lid

In artikel 20 Wwke is bepaald dat een kritieke entiteit die essentiële diensten verleent
aan of in zes of meer lidstaten hiervan een kennisgeving moet doen bij de bevoegde
autoriteit (vakminister). Nadat die kennisgeving is gedaan, moet de bevoegde autoriteit
(vakminister) het centrale contactpunt (Minister van Justitie en Veiligheid) op de
hoogte stellen van de identiteit van die kritieke entiteit en de gemelde essentiële
diensten en lidstaten. Vervolgens moet het centrale contactpunt (Minister van Justitie
en Veiligheid) de Europese Commissie daarvan op de hoogte stellen. Dit is bepaald
in artikel 21, eerste lid, Wwke.

Het is vervolgens aan de Europese Commissie om te beslissen of sprake is van een zogeheten
«kritieke entiteit van bijzonder Europees belang» als bedoeld in artikel 17, eerste
lid, CER-richtlijn. Daarbij raadpleegt de Europese Commissie de betrokken bevoegde
autoriteit (vakminister), het centrale contactpunt (Minister van Justitie en Veiligheid),
de bevoegde autoriteiten van andere betrokken lidstaten en de betrokken kritieke entiteit.
Tijdens die raadplegingen deelt elke lidstaat de Europese Commissie mee of de diensten
die de kritieke entiteit aan die lidstaat verleent, naar zijn oordeel essentiële diensten
zijn. Zie artikel 17, tweede lid, CER-richtlijn.

Tweede lid

Wanneer de Europese Commissie tot het oordeel komt dat sprake is van een kritieke
entiteit van bijzonder Europees belang, stelt zij de betrokken kritieke entiteit hiervan
in kennis via de bevoegde autoriteit (vakminister). Omdat die kennisgeving via de
bevoegde autoriteit (vakminister) loopt, is in artikel 21, tweede lid, Wwke bepaald
dat de bevoegde autoriteit (vakminister) die kennisgeving zonder onnodige vertraging
moet toezenden aan de betrokken kritieke entiteit. Vanaf de datum van ontvangst van
deze kennisgeving kan de Europese Commissie een zogenoemde adviesmissie organiseren.

Derde lid

Artikel 21, derde lid, Wwke strekt tot de implementatie van artikel 18, vierde lid,
laatste volzin, CER-richtlijn. Artikel 21, derde lid, Wwke verplicht de bevoegde autoriteit
(vakminister) om aan de Europese Commissie en de lidstaten waaraan of waarin een essentiële
dienst wordt verleend, bepaalde informatie te verstrekken. Het gaat om informatie
over de maatregelen die de bevoegde autoriteit (vakminister) heeft genomen naar aanleiding
van het oordeel van de adviesmissie van de Europese Commissie over of een entiteit
de verplichting tot het uitvoeren van een risicobeoordeling, de zorgplicht en de meldplicht
nakomt en welke maatregelen kunnen worden genomen om de weerbaarheid van die kritieke
entiteit te verbeteren.

Artikel 22 (verplichting kritieke entiteit van bijzonder Europees belang)

De verplichting uit artikel 22 Wwke is alleen van toepassing op kritieke entiteiten
van bijzonder Europees belang en houdt verband met adviesmissies van de Europese Commissie.
In de CER-richtlijn is geregeld dat de Europese Commissie een adviesmissie kan organiseren.
Deze missies hebben het doel om de weerbaarheidsverhogende maatregelen die deze entiteiten
hebben genomen, te beoordelen.

Artikel 22 Wwke bepaalt, ter implementatie van artikel 18, vierde lid, vierde alinea,
CER-richtlijn, dat deze entiteiten bij het voldoen aan de zorgplicht, voor zover een
adviesmissie heeft plaatsgevonden, rekening houden met het advies van de adviesmissie.
Dit betekent ook dat de toezichthoudende instantie bij het toezicht op de naleving
van de zorgplicht van artikel 15 Wwke het advies van de adviesmissie betrekt.

Artikel 23 (uitzondering sectoren bankwezen, infrastructuur voor de financiële markt
en digitale infrastructuur)

Artikel 23 Wwke strekt tot de implementatie van artikel 8 CER-richtlijn en regelt
dat een aantal verplichtingen niet van toepassing zijn op kritieke entiteiten in de
sectoren bankwezen, infrastructuur voor de financiële markt en digitale infrastructuur,
genoemd in de bijlage van de Wwke. Het gaat om de volgende verplichtingen: de verplichting
tot het uitvoeren van een risicobeoordeling, de zorgplicht, de meldplicht, de verplichting
tot het aanwijzen van een verbindingsfunctionaris, de verplichting uit artikel 20
Wwke (over de kennisgeving over de verlening van essentiële diensten aan of in zes
of meer lidstaten) en de verplichting die is neergelegd in artikel 22 Wwke (over kritieke
entiteiten van bijzonder Europees belang).

Artikel 24 (ontheffing van verplichtingen)

Artikel 24, eerste lid, Wwke strekt tot de implementatie van artikel 1, zevende lid,
CER-richtlijn. Artikel 1, zevende lid, CER-richtlijn biedt lidstaten de mogelijkheid
om entiteiten die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare
veiligheid, defensie of rechtshandhaving, of die uitsluitend diensten verlenen aan
overheidsinstanties die in hoofdzaak zulke activiteiten uitvoeren, met betrekking
tot die activiteiten of diensten te ontheffen van bepaalde verplichtingen. Het gaat
om de volgende verplichtingen: de verplichting tot het uitvoeren van een risicobeoordeling,
de zorgplicht, de meldplicht, de verplichting tot het aanwijzen van een verbindingsfunctionaris,
de verplichting uit artikel 20 Wwke (over de kennisgeving over de verlening van essentiële
diensten aan of in zes of meer lidstaten) en de verplichting die is neergelegd in
artikel 22 Wwke (over kritieke entiteiten van bijzonder Europees belang).

In artikel 24, eerste lid, Wwke is de bevoegdheid om de hiervoor bedoelde entiteiten
te ontheffen van de hiervoor genoemde verplichtingen belegd bij de vakminister. De
vakminister kan in overeenstemming met de Minister van Justitie en Veiligheid overgaan
tot de ontheffing. Op basis van een risico-afweging bereiken zij overeenstemming over
de ontheffing en de bijbehorende voorwaarden voordat ontheffing wordt verleend. De
vakminister informeert de betrokken kritieke entiteit over de bijbehorende voorwaarden
en informeert ook de toezichthoudende instantie.

Artikel 24, tweede lid, Wwke voorziet in de bevoegdheid om een kritieke entiteit die
niet behoort tot een in de bijlage van de Wwke genoemde sector te ontheffen van de
hiervoor genoemde verplichtingen. Hierbij gaat het concreet om kritieke entiteiten
in de op grond van artikel 7, eerste lid, Wwke aangewezen sectoren. De vakminister
kan in overeenstemming met de Minister van Justitie en Veiligheid overgaan tot de
ontheffing. Op basis van een risico-afweging bereiken zij overeenstemming over de
ontheffing en de bijbehorende voorwaarden voordat ontheffing wordt verleend. Hierbij
zal worden getoetst of de weerbaarheid van de kritieke entiteiten en de door hen geleverde
essentiële dienst(en) voldoende geborgd is door andere geldende wet- en regelgeving,
zoals de Cbw. De vakminister informeert de betrokken kritieke entiteiten over de bijbehorende
voorwaarden en informeert ook de toezichthoudende instantie.

Voor de goede orde wordt hierbij opgemerkt dat een ontheffing van een verplichting
betekent dat die desbetreffende verplichting niet van toepassing is op de entiteit.
Er kan dan ook geen toezicht worden gehouden op de naleving van die «verplichting»,
omdat de verplichting niet geldt.

Artikel 25 (samenwerking en gegevensuitwisseling tussen bevoegde autoriteiten)

Artikel 25 Wwke strekt tot de implementatie van artikel 9, eerste lid, derde alinea,
CER-richtlijn en verplicht de bevoegde autoriteiten tot samenwerking voor het doeltreffend
en doelmatig kunnen uitvoeren van hun taken. Gedacht wordt aan onderlinge afspraken
om zodoende vlot en effectief samen te werken en dubbel werk waar mogelijk te voorkomen,
bijvoorbeeld bij het toezien op de toepassing van de verplichtingen op grond van de
Wwke die raken aan andere bestaande sectorale regelingen. Ten behoeve van deze samenwerking
wisselen de bevoegde autoriteiten de noodzakelijke gegevens uit, zoals de door een
kritieke entiteit genomen maatregelen.

Artikel 26 (samenwerking en gegevensuitwisseling tussen het centrale contactpunt en
bevoegde autoriteiten)

Artikel 26 Wwke strekt tot de implementatie van artikel 9, eerste lid, derde alinea,
CER-richtlijn. Om te garanderen dat het centrale contactpunt en de bevoegde autoriteiten
hun taken uit de Wwke doeltreffend en doelmatig kunnen uitvoeren, moeten zij met elkaar
samenwerken en alle daarvoor noodzakelijke gegevens kunnen uitwisselen.

Artikel 27 (samenwerking en gegevensuitwisseling tussen bevoegde autoriteiten van
deze wet en bevoegde autoriteiten Cyberbeveiligingswet)

Artikel 27 Wwke gaat over de samenwerking en gegevensuitwisseling tussen de bevoegde
autoriteit van de Wwke en de bevoegde autoriteit van de Cbw.

Eerste lid

Artikel 27, eerste lid, Wwke strekt tot de implementatie van de artikelen 9, zesde
lid, en 21, vijfde lid, CER-richtlijn en gaat onder meer over het uitwisselen van
informatie over cyberbeveiligingsrisico’s die negatieve gevolgen hebben voor kritieke
entiteiten.

Tweede lid

Artikel 27, tweede lid, Wwke strekt tot de implementatie van artikel 6, vierde lid,
CER-richtlijn en ziet op de verplichting voor de bevoegde autoriteit van de Wwke om
de bevoegde autoriteit van de Cbw in kennis te stellen van de aanwijzing van een entiteit
als kritieke entiteit. Op grond van artikel 8, eerste lid, onderdeel i, Cbw zijn kritieke
entiteiten als bedoeld in de Wwke namelijk tevens van rechtswege essentiële entiteit
als bedoeld in de Cbw. Andersom is dat overigens niet het geval, omdat entiteiten
eerst moeten worden aangewezen als kritieke entiteit.

Derde lid

Artikel 27, derde lid, Wwke strekt tot de implementatie van artikel 21, vijfde lid,
CER-richtlijn.

Vierde lid

Artikel 27, vierde lid, Wwke houdt verband met uitvoeringshandelingen die kunnen worden
vastgesteld op grond van artikel 13, zesde lid, CER-richtlijn. Die uitvoeringshandelingen
regelen de vaststelling van de technische en methodologische specificaties met betrekking
tot de toepassing van de in artikel 13, eerste lid, CER-richtlijn bedoelde maatregelen.
De laatstgenoemde bepaling is geïmplementeerd in artikel 15 Wwke en gaat over de zorgplicht
voor kritieke entiteiten. Nu de hiervoor bedoelde technische en methodologische specificaties
moeten worden toegepast met betrekking tot de maatregelen die genomen moeten worden
in het kader van de zorgplicht, brengt dit met zich dat artikel 27, derde lid, Wwke,
dat ziet op onder meer de naleving van de zorgplicht, van overeenkomstige toepassing
moet zijn op het bepaalde in de op grond van artikel 13, zesde lid, CER-richtlijn
vastgestelde uitvoeringshandelingen.

Vijfde lid

Artikel 27, vijfde lid, Wwke strekt tot de implementatie van artikel 21, vijfde lid,
CER-richtlijn, evenals artikel 32, negende lid, NIS2-richtlijn. In artikel 32, negende
lid, NIS2-richtlijn is bepaald dat de bevoegde autoriteiten uit hoofde van de CER-richtlijn
de bevoegde autoriteiten uit hoofde van de NIS2-richtlijn kunnen verzoeken om hun
toezichts- en handhavingsbevoegdheden uit te oefenen om ervoor te zorgen dat een entiteit
die op grond van de CER-richtlijn als kritieke entiteit wordt aangemerkt, voldoet
aan de NIS2-richtlijn. Ter implementatie hiervan is in artikel 27, vijfde lid, Wwke
geregeld dat de bevoegde autoriteit (toezichthoudende instantie) in de zin van de
Wwke de bevoegde autoriteit in de zin van de Cbw kan verzoeken om toezicht te houden
op de naleving van de verplichtingen uit de Cbw door kritieke entiteiten. Nu kritieke
entiteiten op grond van de NIS2-richtlijn per definitie kwalificeren als essentiële
entiteit in de zin van de Cbw kan de bevoegde autoriteit (toezichthoudende instantie)
in de zin van de Wwke, ten aanzien van alle aangewezen kritieke entiteiten een dergelijk
verzoek doen. Het zal in de praktijk veelal voorkomen dat de bevoegde autoriteit (toezichthoudende
instantie) in de zin van de Wwke dezelfde autoriteit is als die in de zin van de Cbw.
In dat geval is een dergelijk verzoek vanzelfsprekend niet nodig.

Zesde lid

Het zesde lid van artikel 27 Wwke strekt net als het vijfde lid van dit artikel tot
de implementatie van artikel 21, vijfde lid, CER-richtlijn en artikel 32, negende
lid, NIS2-richtlijn. In artikel 32, negende lid, NIS2-richtlijn is bepaald dat de
bevoegde autoriteiten uit hoofde van de CER-richtlijn de bevoegde autoriteiten uit
hoofde van de NIS2-richtlijn kunnen verzoeken om hun toezichts- en handhavingsbevoegdheden
uit te oefenen om ervoor te zorgen dat een entiteit die op grond van de CER-richtlijn
als kritieke entiteit wordt aangemerkt, voldoet aan de NIS2-richtlijn. Het voldoen
aan de NIS2-richtlijn omvat óók het voldoen aan het bepaalde in de op grond van de
artikelen 21, vijfde lid, en 23, elfde lid, van de NIS2-richtlijn vastgestelde uitvoeringshandelingen
en de op grond van artikel 24, tweede lid, van de NIS2-richtlijn vastgestelde gedelegeerde
handelingen. Artikel 27, zesde lid, Wwke regelt dat de bevoegde autoriteit (toezichthoudende
instantie) in de zin van de Wwke ook ten aanzien van het voldoen aan die uitvoeringshandelingen
en gedelegeerde handelingen een hiervoor bedoeld verzoek kan doen aan de bevoegde
autoriteit in de zin van de Cbw.36

Artikel 28 (overleg, samenwerking en gegevensuitwisseling tussen bevoegde autoriteiten
en andere nationale autoriteiten, kritieke entiteiten en betrokken belanghebbende
partijen)

Artikel 28 Wwke strekt tot de implementatie van artikel 9, vijfde lid, CER-richtlijn.
Die richtlijnbepaling bevat de verplichting voor lidstaten om ervoor te zorgen dat
de bevoegde autoriteit overlegt en samenwerkt met andere betrokken nationale autoriteiten,
waaronder autoriteiten die belast zijn met civiele bescherming, rechtshandhaving en
de bescherming van persoonsgegevens, met kritieke entiteiten en met betrokken belanghebbende
partijen. Artikel 28 Wwke biedt de grondslag om in dat kader persoonsgegevens uit
te wisselen.

Deze samenwerking bestaat vooral uit gegevensuitwisseling tussen bevoegde autoriteiten
en andere nationale autoriteiten met betrekking tot dreigingen, risico’s en incidenten
die negatieve gevolgen kunnen hebben. Wanneer een bevoegde autoriteit bijvoorbeeld
het vermoeden heeft van mogelijke gevolgen voor belangen van de nationale veiligheid,
de openbare veiligheid of defensie, consulteert en informeert de betreffende bevoegde
autoriteit de departementen die beleidsmatig verantwoordelijk zijn voor deze domeinen
en, waar relevant, andere betrokken bevoegde autoriteiten en de inlichtingen- en veiligheidsdiensten,
om de eventuele gevolgen zo volledig mogelijk in kaart te brengen. De bevoegde autoriteit
blijft eindverantwoordelijk voor de betreffende taken in de zin van de Wwke.

Artikel 29 (samenwerking en gegevensverstrekking bevoegde autoriteiten en die van
andere lidstaten en derde landen)

Op grond van artikel 5, tweede lid, CER-richtlijn moeten lidstaten bij het uitvoeren
van een risicobeoordeling samenwerken met bevoegde autoriteiten van andere lidstaten
en van derde landen, naargelang het geval. In Nederland is deze taak belegd bij de
bevoegde autoriteit (vakminister), zie artikel 9, derde lid, Wwke. Artikel 30 Wwke
biedt de grondslag om in dat kader gegevens, waaronder persoonsgegevens, uit te wisselen.

Artikel 30 (gegevensuitwisseling bevoegde autoriteiten en kritieke entiteiten)

Artikel 30 Wwke biedt de grondslag voor de verwerking van gegevens, waaronder persoonsgegevens,
door de bevoegde autoriteit bij zowel het ontvangen van gegevens van kritieke entiteiten,
als het verstrekken van gegevens aan kritieke entiteiten. Van het ontvangen van persoonsgegevens
van een contactpersoon van een kritieke entiteit zal sprake zijn wanneer een kritieke
entiteit een melding van een incident doet als bedoeld in artikel 17 Wwke. Ook zal
de bevoegde autoriteit mogelijk persoonsgegevens van een contactpersoon van een entiteit
ontvangen ten behoeve van de aanwijzing van een entiteit als kritieke entiteit (artikel 6,
eerste lid, Wwke). Van de verwerking van persoonsgegevens door de bevoegde autoriteit
bij het verzenden van informatie aan kritieke entiteiten kan sprake zijn bij het verstrekken
van relevante informatie uit de risicobeoordeling op grond van artikel 9, zesde lid,
Wwke. Het zal dan in deze gevallen ook gaan om persoonsgegevens van contactpersonen
van de kritieke entiteit of een ambtenaar van de bevoegde autoriteit.

Artikel 31 (gegevensverstrekking door het centrale contactpunt)

Artikel 31 Wwke biedt de grondslag voor de verwerking van gegevens, waaronder persoonsgegevens,
door het centrale contactpunt als het informatie van centrale contactpunten van andere
lidstaten ontvangt en deze moet doorzenden aan kritieke entiteiten op grond van artikel 18,
zesde lid, Wwke. Daarnaast biedt artikel 31 Wwke de grondslag voor het verstrekken
van informatie aan de centrale contactpunten van andere lidstaten op grond van artikel 18,
vierde lid, Wwke en het kunnen informeren van de Europese Commissie op grond van artikel 12,
onderdeel b, Wwke in samenhang met artikel 18, derde lid, Wwke en de Groep voor de
weerbaarheid van kritieke entiteiten op grond van artikel 12, onderdeel b, Wwke in
samenhang met artikel 19 CER-richtlijn. In dat laatste geval kan bijvoorbeeld worden
gedacht aan het verwerken van contactgegevens van medewerkers in het kader van het
aanmelden voor bijeenkomsten van genoemde groep. Tot slot biedt artikel 31 Wwke de
grondslag om informatie uit te wisselen met de bevoegde autoriteiten van derde landen,
in het kader van de samenwerking met deze autoriteiten (artikel 12, onderdeel c, Wwke).

Artikel 32 (verwerkingsverantwoordelijkheid)

Artikel 32 Wwke regelt de verwerkingsverantwoordelijkheid.

Artikel 33 (bewaring van persoonsgegevens)

Artikel 33 Wwke schrijft voor dat bij of krachtens amvb regels worden gesteld over
de bewaring van persoonsgegevens die ter uitvoering van de Wwke worden verwerkt.

Artikel 34 (vertrouwelijke gegevens)

Artikel 34, eerste lid, Wwke gaat over de uitwisseling van vertrouwelijke gegevens
en voorziet in de waarborgen voor die gegevensuitwisseling. Deze waarborgen vloeien
voort uit artikel 1, vierde lid, CER-richtlijn. In de praktijk zal het met name gaan
om vertrouwelijke gegevens waarover de bevoegde autoriteit beschikt in het kader van
de meldplicht.

Onder vertrouwelijke gegevens worden in beginsel die gegevens verstaan die door entiteiten
vertrouwelijk aan de bevoegde autoriteit zijn verstrekt. Daaronder vallen in ieder
geval bedrijfsgeheimen. Bij bedrijfsgeheimen kan worden gedacht aan informatie over
de technische bedrijfsvoering van een entiteit dan wel een essentieel proces, het
functioneren van systemen en (productie)processen en propriëtaire technieken. Er kan
ook worden gedacht aan technologische informatie zoals beveiligingsmethoden, beveiligingsstrategieën
en risicoanalyses.

Ten aanzien van vertrouwelijke gegevens kan ook worden gedacht aan concrete informatie
over de entiteit die door een dreiging of incident is getroffen, waarbij verdere verspreiding
van die informatie tot gevolg heeft dat die entiteit daarvan nadeel ondervindt, bijvoorbeeld
omdat de commerciële belangen van de entiteit daardoor worden geschaad. Hierbij valt
onder meer te denken aan klanten die de samenwerking met de entiteit afbreken en het
bekend worden van informatie bij concurrenten, waar zij – ten nadele van de entiteit –
hun voordeel mee kunnen doen.

Vertrouwelijke gegevens kunnen ook gegevens betreffen die krachtens Unie- of nationale
voorschriften als vertrouwelijk zijn gekenmerkt. Hierbij wordt in elk geval gedacht
aan bedrijfs- en fabricagegegevens die door entiteiten vertrouwelijk aan de overheid
zijn meegedeeld als bedoeld in artikel 5.1, eerste lid, onderdeel c, Wet open overheid
(hierna: Woo). In relatie tot de Wwke kan hierbij worden gedacht aan gegevens die
door een entiteit in het kader van de meldplicht van de Wwke aan de overheid zijn
verstrekt en daarbij zijn aangemerkt als vertrouwelijke bedrijfs- of fabricagegegevens,
zoals de kring van afnemers van een essentiële dienst, leveranciers of financiële
gegevens. Overigens ligt het voor de hand dat de eerder genoemde bedrijfsgeheimen
veelal ook vertrouwelijk aan de overheid verstrekte bedrijfs- en fabricagegegevens
zijn, maar dat hoeft niet per definitie het geval te zijn.

De bevoegde autoriteit (vakminister en toezichthoudende instantie) en de Minister
van Justitie en Veiligheid (als het centrale contactpunt en voor wat betreft de andere
taken uit de Wwke waarmee hij is belast) kunnen in het kader van de uitoefening van
hun taken uit de Wwke vertrouwelijke informatie aan derden verstrekken, doch uitsluitend
onder de voorwaarden van de onderdelen a tot en met d van artikel 34, eerste lid,
Wwke.

Onderdeel a beschrijft dat de verstrekking noodzakelijk moet zijn ter uitvoering van
de taken uit de Wwke van de bevoegde autoriteit, het centrale contactpunt en de Minister
van Justitie en Veiligheid. Onder taak wordt hierbij zowel gedoeld op expliciete taakomschrijvingen
in de Wwke, als op het nakomen van verplichtingen uit de Wwke en het uitoefenen van
bevoegdheden in relatie tot die taken en verplichtingen van de hiervoor genoemde instanties.
Zo kan het bijvoorbeeld gaan om de taken van de bevoegde autoriteit, genoemd in artikel 8,
derde lid, Wwke, maar kan het ook gaan om de taken die strekken tot het uitvoering
geven aan de verplichtingen uit de Wwke voor deze instanties, zoals samenwerking en
gegevensuitwisseling op grond van de artikelen 25 tot en met 31 Wwke. Ook kan het
gaan om de uitoefening van bevoegdheden, zoals die in het kader van het toezicht op
de naleving van de verplichtingen uit de Wwke.

Onderdeel b beschrijft dat de verstrekking beperkt blijft tot die vertrouwelijke gegevens
die relevant zijn voor de ontvangende partij en dat de verstrekking evenredig moet
zijn aan het doel van die verstrekking. Onderdeel c beschrijft dat de vertrouwelijkheid
van de verstrekte vertrouwelijke gegevens gewaarborgd dient te worden en onderdeel
d beschrijft dat de veiligheids- en commerciële belangen van de betrokken entiteit
worden beschermd.

Artikel 34, tweede lid, Wwke regelt dat de Woo niet van toepassing is op vertrouwelijke
gegevens als bedoeld in artikel 34, eerste lid, Wwke. Er is aanleiding gezien om dit
expliciet in de Wwke te regelen, omdat het van groot belang is dat de vertrouwelijkheid
van gegevens die bijvoorbeeld door kritieke entiteiten als zodanig aan de bevoegde
autoriteit (vakminister en toezichthoudende instantie) worden verstrekt zo veel mogelijk
wordt gewaarborgd. Voor de bevoegde autoriteit (toezichthoudende instantie) geldt
dat zij ter uitvoering van haar toezichtsactiviteiten komt te beschikken over vertrouwelijke
informatie over de stand van de weerbaarheid van kritieke entiteiten, evenals incidenten
bij deze entiteiten. De vertrouwelijkheid van gegevens moet zo veel mogelijk worden
geborgd om reputatieschade, benadeling van de concurrentiepositie en openbaarmaking
van kwetsbaarheden te voorkomen. Artikel 34, tweede lid, Wwke biedt kritieke entiteiten
op voorhand de zekerheid dat deze vertrouwelijke gegevens niet openbaar kunnen worden
gemaakt door de bevoegde autoriteit op grond van de Woo. Hiermee is gekozen voor een
gelijkluidend regime als voor de Cbw, aangezien de Cbw en Wwke nauw met elkaar verbonden
zijn en de betreffende bevoegde autoriteiten onder de Cbw en Wwke nauw met elkaar
dienen samen te werken en in dat kader informatie met elkaar uitwisselen. Het ligt
daarmee niet in de rede om hiervoor een ander regime te hanteren.

Deze uitzondering op de toepasselijkheid van de Woo voor vertrouwelijke gegevens als
bedoeld in artikel 34, eerste lid, Wwke geldt ook als deze gegevens bij een ander
overheidsorgaan berusten na verstrekking door de bevoegde autoriteit of de Minister
van Justitie en Veiligheid (als het centrale contactpunt en voor wat betreft de andere
taken uit de Wwke waarmee hij is belast). In lijn met het bepaalde in artikel 20,
zevende lid, Wbni geldt deze uitzondering niet voor milieu-informatie. De Woo kent
aparte regels voor milieu-informatie, omdat dit voortvloeit uit het Verdrag van Aarhus37 en Richtlijn 2003/4/EG38. Voor de definitie van milieu-informatie wordt in de Woo verwezen naar artikel 19.1a
Wet milieubeheer. Zo geldt dat als er sprake is van een zwaarwegend belang, waaronder
het belang van het milieu valt, dat dan een bestuursorgaan informatie actief openbaar
mag maken, ook al zijn één of meer uitzonderingen op de openbaarmaking van toepassing
(artikel 3.4 Woo). Voor de relatieve weigeringsgrond economische of financiële belangen van de Staat, andere publiekrechtelijke lichamen
of bestuursorganen geldt dat in het geval van milieu-informatie enkel een beroep op deze grond kan worden
gedaan als de informatie een vertrouwelijk karakter heeft (artikel 5.1, tweede lid,
onderdeel b, Woo). Als relatieve weigeringsgrond is daarnaast opgenomen dat het belang
van openbaarmaking van de desbetreffende informatie moet kunnen worden afgewogen tegenover
het belang van het milieu waar de informatie op ziet (artikel 5.1, tweede lid, onderdeel
g, Woo). Hoewel als hoofdregel geldt dat persoonlijke beleidsopvattingen niet (dan
wel in niet-herleidbare vorm) openbaar worden gemaakt, geldt met betrekking tot milieu-informatie
dat de openbaarmaking van de persoonlijke beleidsopvatting moet worden afgewogen tegen
het belang van de openbaarmaking van de milieu-informatie (artikel 5.2, vierde lid,
Woo). Tenslotte wordt in dit verband opgemerkt dat milieu-informatie die betrekking
heeft op emissies (schadelijke stoffen) in het milieu altijd openbaar gemaakt moet
worden (artikel 5.1, zevende lid, Woo).

Artikel 35 (verstrekking van gegevens in relatie tot nationale veiligheid, openbare
veiligheid en defensie)

In artikel 35 Wwke is artikel 1, achtste lid, CER-richtlijn geïmplementeerd. In artikel 35
Wwke is bepaald dat de Wwke geen betrekking heeft op de verstrekking van informatie
waarvan de bekendmaking strijdig is met de wezenlijke belangen van nationale veiligheid,
openbare veiligheid of defensie. Het gaat hierbij in elk geval om overheidsinformatie
welke is gerubriceerd op grond van het Besluit Voorschrift Informatiebeveiliging Rijksdienst
Bijzondere Informatie 2013 (VIRBI 2013). Gerubriceerde informatie zal dus niet worden
uitgewisseld in het kader van de Wwke. Te denken valt bijvoorbeeld aan inlichtingenberichten
van de inlichtingen- en veiligheidsdiensten.

Artikel 36 (toezichthouders)

Artikel 36 Wwke ziet op de aanwijzing van natuurlijke personen die zijn belast met
het toezicht op de naleving van het bepaalde bij of krachtens de Wwke en het bepaalde
in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen,
voor zover in die uitvoeringshandelingen is bepaald dat deze verbindend zijn en rechtstreeks
toepasselijk zijn in elke lidstaat. Deze natuurlijke personen beschikken na de aanwijzing
over de bevoegdheden uit titel 5.2 Awb en de toezichtsbevoegdheden uit de Wwke.

Artikel 37 (audit)

Artikel 37 Wwke strekt tot de implementatie van artikel 21, eerste lid, onderdeel
b, CER-richtlijn en ziet op de bevoegdheid van de toezichthoudende instantie om een
audit op te leggen aan een kritieke entiteit.

Bij een audit onderzoekt een onafhankelijke en gekwalificeerde deskundige de opzet
en werking van de door de kritieke entiteit genomen maatregelen voor het verhogen
van haar weerbaarheid. De audit verschaft daarmee aanvullend en onafhankelijk beeld
van de effectieve uitvoering van de maatregelen die de entiteit genomen heeft om de
weerbaarheid te borgen en biedt derhalve inzichten voor de bevoegde autoriteit (toezichthoudende
instantie) om te kunnen controleren in welke mate de kritieke entiteit in kwestie
heeft voldaan aan de verplichtingen uit de Wwke.39 Ook biedt een audit de bevoegde autoriteit (toezichthoudende instantie) meer inzicht
in welke mate de entiteit in control is ten aanzien van het nemen van adequate maatregelen om haar weerbaarheid te verhogen.
De audit kan betrekking hebben op de gehele entiteit of specifieke processen binnen
de entiteit, zolang dit verband houdt met de verplichtingen uit de Wwke, met name
de zorgplicht.40

De kritieke entiteit selecteert de auditor en het is aan de kritieke entiteit om aan
te tonen dat de auditor in kwestie onafhankelijk en gekwalificeerd is. Hierbij is
het uitgangspunt dat zoveel mogelijk wordt aangesloten bij de sectorale kaders en
de praktijk omtrent, waar mogelijk vergelijkbare, audits.

Artikel 38 (aanwijzing)

Artikel 38 Wwke voorziet – ter implementatie van artikel 21, derde lid, CER-richtlijn –
in de mogelijkheid voor de bevoegde autoriteit (toezichthoudende instantie) om aan
een kritieke entiteit een aanwijzing op te leggen om binnen een daarbij gestelde redelijke
termijn de daarin omschreven handelingen te verrichten of de daarin omschreven maatregelen
te nemen. Zulks ter naleving van het bepaalde bij of krachtens de Wwke en het bepaalde
in de op grond van artikel 13, zesde lid, CER-richtlijn vastgestelde uitvoeringshandelingen,
voor zover daarin is bepaald dat deze verbindend zijn en rechtstreeks toepasselijk
zijn in elke lidstaat.

De aanwijzing heeft een juridisch bindend karakter en is een beschikking in de zin
van artikel 1:3 Awb waar bezwaar, beroep en hoger beroep tegen open staat. Een aanwijzing
is een enkele last tot het verrichten van bepaalde handelingen, bedoeld in artikel 5:2,
tweede lid, Awb en geen bestuurlijke sanctie. De aanwijzing wordt toegepast om te
kunnen voldoen aan een wettelijke verplichting of norm. Daarmee wordt voor de entiteit
die een aanwijzing krijgt opgelegd duidelijk waaraan moet worden voldaan en wat zij
moet doen om aan die verplichting of norm te voldoen. Als niet aan de wettelijke verplichting
of norm voldaan wordt, kan de bevoegde autoriteit (toezichthoudende instantie) vervolgens
handhaven met bijvoorbeeld een last onder dwangsom of een bestuurlijke boete.

Artikel 39 (last onder bestuursdwang)

Artikel 22 CER-richtlijn verplicht lidstaten tot het toepassen van sancties op overtredingen
van nationale verplichtingen ter uitvoering van de CER-richtlijn en bepaalt dat die
sancties doeltreffend, evenredig en afschrikwekkend moeten zijn. Ter uitvoering van
deze richtlijnbepaling is in artikel 39 Wwke geregeld dat de bevoegde autoriteit (toezichthoudende
instantie) bevoegd is tot het opleggen van een last onder bestuursdwang. Er zijn situaties
denkbaar waarin zij tot het oordeel komt dat deze herstelsanctie de meest passende
maatregel betreft, bijvoorbeeld omdat het niet voldoen aan een last onder dwangsom
enkel het gevolg heeft dat de dwangsom wordt verbeurd maar de overtreding door de
overtreder niet ongedaan maakt. Zo is de situatie denkbaar waarin als gevolg van de
overtreding van de zorgplicht de continuïteit van de dienstverlening in het geding
is en er daardoor aanzienlijke gevolgen zijn voor dienstverlening van de entiteit,
met mogelijk maatschappelijke ontwrichting tot gevolg. Een last onder bestuursdwang
waarbij de bevoegde autoriteit (toezichthoudende instantie) zelf zorgt voor herstel,
kan dan ervoor zorgen dat deze aanzienlijke negatieve gevolgen worden beperkt of voorkomen.

Op grond van artikel 5:32, eerste lid, Awb is de bevoegde autoriteit (toezichthoudende
instantie) bevoegd om in plaats van een last onder bestuursdwang een last onder dwangsom
op te leggen. Nu artikel 22 CER-richtlijn niet limitatief voorschrijft welke sancties
een lidstaat moet toepassen, maar enkel voorschrijft dat sancties moeten worden toegepast
op overtredingen van nationale verplichtingen ter uitvoering van de CER-richtlijn
en dat die sancties doeltreffend, evenredig en afschrikkend moeten zijn, past ook
de bevoegdheid tot het opleggen van een last onder dwangsom binnen de kaders van de
CER-richtlijn.

Artikel 40 (bestuurlijke boete)

Artikel 40 Wwke ziet op de bevoegdheid van de bevoegde autoriteit (toezichthoudende
instantie) tot het opleggen van een bestuurlijke boete aan een kritieke entiteit en
betreft de implementatie van artikel 22 CER-richtlijn. In paragraaf 5.9.4 wordt ingegaan
op de bestuurlijke boete.

Artikel 41 (evaluatie)

In artikel 41 Wwke is bepaald dat de doeltreffendheid en effectiviteit van de Wwke
uiterlijk vier jaar na de inwerkingtreding van de Wwke wordt geëvalueerd. Er is gekozen
voor een termijn van vier jaar, zodat bij de evaluatie van de Wwke de uitkomsten van
de evaluatie van de CER-richtlijn door de Europese Commissie kunnen worden betrokken.
De CER-richtlijn schrijft voor dat het rapport van de evaluatie door de Europese Commissie
uiterlijk op 16 juni 2029 moet worden ingediend.

Artikel 42 (wijzigingen van bindende rechtshandelingen van de Europese Unie)

Artikel 42 Wwke ziet op de toepassing van de bepalingen uit bindende rechtshandelingen
van de EU, waarnaar in de Wwke wordt verwezen. Met name in de bijlage van de Wwke
wordt veelvuldig verwezen naar zulke rechtshandelingen.

Artikel 43 (eerste aanwijzingen kritieke entiteiten)

Artikel 43 Wwke strekt tot de implementatie van artikel 6, eerste lid, CER-richtlijn.
Artikel 43 Wwke ziet op de aanwijzing van entiteiten uit de bijlage van de Wwke en
dus niet op entiteiten uit de op grond van artikel 7, eerste lid, Wwke aangewezen
sectoren en subsectoren.

Artikel 44 (eerste risicobeoordeling door de bevoegde autoriteit)

Artikel 44 Wwke strekt tot de implementatie van artikel 5, eerste lid, CER-richtlijn.

Artikel 45 (eerste strategie inzake de weerbaarheid van kritieke entiteiten)

Artikel 45 Wwke strekt tot de implementatie van artikel 4, eerste lid, CER-richtlijn.

Artikel 46 (wijziging Algemene wet bestuursrecht)

Artikel 46 Wwke voorziet in een bijzondere bevoegdheidsregeling voor een aantal sectoren.

Voor de volgende sectoren wordt de rechtbank Rotterdam aangewezen als bevoegde rechtbank
voor beroep in eerste instantie en wordt het College van Beroep voor het bedrijfsleven
aangewezen als hoger beroepsinstantie: energie, bankwezen, infrastructuur voor de
financiële markt, digitale infrastructuur en productie, verwerking en distributie
van levensmiddelen. Dit geldt ook voor de subsector spoor.

De reden voor deze bijzondere bevoegdheidsregeling is als volgt. Het is aannemelijk
dat besluiten op grond van de Wwke in veel gevallen in samenhang met besluiten op
grond van betrokken sectorale wet- en regelgeving zullen worden genomen. In die gevallen
is het niet wenselijk dat voor besluiten op grond van sectorale wetten een bijzondere
bestuursrechter bevoegd is, terwijl voor besluiten op grond van de Wwke de gewone
bevoegdheidsregeling zou gelden. Voorts zal in het algemeen een goed oordeel over
besluiten op grond van de Wwke niet gevormd kunnen worden zonder inzicht in de betrokken
sector. Indien voor die sector een bijzondere bestuursrechter bevoegd is verklaard,
zal die rechter inhoudelijke deskundigheid hebben opgebouwd ten aanzien van die sector.
Het ligt dan voor de hand die rechter ook te laten oordelen over besluiten ten aanzien
van die sector op grond van de Wwke.

Deze bijzondere bevoegdheidsregeling en de motivering daarvan sluit aan op de regeling
die is getroffen voor de besluiten die op grond van de Cbw zijn genomen.

Artikel 47 (wijziging Wet open overheid)

Artikel 34, tweede lid, Wwke regelt dat de Woo niet van toepassing is op vertrouwelijke
gegevens als bedoeld in artikel 34, eerste lid, Wwke. Met de in artikel 47 Wwke geregelde
toevoeging van artikel 34 Wwke aan de bijlage bij de Woo wordt buiten twijfel gesteld
dat de Woo niet van toepassing is op de hiervoor bedoelde vertrouwelijke gegevens.

Artikel 48 (inwerkingtreding)

Artikel 48 Wwke bepaalt dat de Wwke in werking treedt op een bij koninklijk besluit
te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend
kan worden vastgesteld. Op grond van dit artikel kan worden gekozen voor een gefaseerde
inwerkingtreding. Dit is denkbaar in het geval dat bepaalde onderdelen van de Wwke
nog niet in werking kunnen treden, terwijl dat bij andere onderdelen van de Wwke wel
het geval is. De verwachting is dat bij de inwerkingtreding van (onderdelen van) de
Wwke een uitzondering wordt gemaakt op de vaste verandermomenten en de minimuminvoeringstermijn,
omdat de Wwke ziet op de implementatie van een bindende EU-rechtshandeling.

Artikel 49 (citeertitel)

Artikel 49 Wwke bepaalt dat de citeertitel van deze wet luidt: Wet weerbaarheid kritieke
entiteiten.

Bijlage

De bijlage bij de Wwke correspondeert met die uit de CER-richtlijn.

De Minister van Justitie en Veiligheid, D.M. van Weel