Het doel van de Wet weerbaarheid kritieke entiteiten (Wwke) is om de weerbaarheid te verbeteren van organisaties die in Nederland essentiële diensten leveren. Dit gaat om bescherming tegen uiteenlopende dreigingen, zoals natuurrampen, terrorisme, sabotage en andere verstoringen die hun dienstverlening ernstig kunnen beïnvloeden. De wet is breder dan alleen cyberbeveiliging en zorgt ervoor dat organisaties voorbereid zijn op diverse risico’s, zodat zij hun belangrijke taken kunnen blijven uitvoeren.
Organisaties die onder de Wwke vallen
De Wwke is de Nederlandse wetgeving die voortkomt uit de Europese CER-richtlijn (Critical Entities Resilience Directive). Waarschijnlijk gaat de Nederlandse wet in het tweede kwartaal 2026 in.
De ministeries wijzen per sector aan welke organisaties als kritieke entiteiten gelden. Alleen deze organisaties vallen onder de Wwke en krijgen een formele aanwijzing. Dit gebeurt zo snel mogelijk na het van kracht worden van de wet. Na aanwijzing heeft een organisatie 9 maanden de tijd om een risicobeoordeling uit te voeren. Binnen 10 maanden na aanwijzing moeten organisaties aan de zorgplicht en de meldplicht voldoen.
Kritieke entiteiten zijn automatisch ook essentiële entiteiten in de zin van de Cyberbeveiligingswet (Cbw). Een organisatie die is aangewezen als kritieke entiteit moet aan de verplichtingen uit de Cbw voldoen.
Verplichte risicobeoordeling
Kritieke entiteiten moeten een verplichte brede risicobeoordeling maken, met aandacht voor alle mogelijke dreigingen die hun dienstverlening kunnen verstoren. Denk bijvoorbeeld aan:
- Door de mens veroorzaakte dreigingen, zoals terroristische misdrijven, sabotage, (fysieke) criminaliteit, verstoringen door demonstraties of maatschappelijke onrust en vormen van hybride of andere vijandige dreigingen gericht op kritieke infrastructuur.
- Natuurlijke dreigingen, zoals overstromingen, extreme weersomstandigheden, brand, pandemieën en andere gevolgen van klimaatverandering die de beschikbaarheid van locaties, installaties of personeel raken.
Zorgplicht en meldplicht
Een organisatie die is aangewezen door een ministerie, moet o.a. voldoen aan:
- Zorgplicht: een organisatie moet passende maatregelen nemen om incidenten te voorkomen, ook fysiek, bijvoorbeeld door gebouwen en infrastructuur te beschermen.
- Meldplicht: een organisatie moet incidenten melden die de dienstverlening ernstig kunnen verstoren. U doet melding binnen 24 uur.
Toezicht
Zodra de wet van kracht wordt, houdt de Rijksinspectie Digitale Infrastructuur (RDI) toezicht op organisaties die door het ministerie van Economische Zaken zijn aangewezen als kritieke entiteit.
Voor de naleving van deze wet is de zorgplicht belangrijk. Over toezicht van de RDI leest u meer op de pagina Toezicht RDI op de Cyberbeveiligingswet.
Meer weten
- Voor meer informatie over de Wwke kunt u terecht op de website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).
- Zie voor meer informatie het ingediende wetsvoorstel voor de Wet weerbaarheid kritieke entiteiten en het concept van de algemene maatregel van bestuur.