Het doel van de Wet weerbaarheid kritieke entiteiten (Wwke) is om de weerbaarheid te verbeteren van organisaties die in Nederland essentiële diensten leveren. Dit gaat om bescherming tegen uiteenlopende dreigingen, zoals natuurrampen, terrorisme, sabotage en andere verstoringen die hun dienstverlening ernstig kunnen beïnvloeden. De wet is breder dan alleen cyberbeveiliging en zorgt ervoor dat organisaties voorbereid zijn op diverse risico’s, zodat zij hun belangrijke taken kunnen blijven uitvoeren.

Organisaties die onder de Wwke vallen

De Wwke is de Nederlandse wetgeving die voortkomt uit de Europese CER-richtlijn (Critical Entities Resilience Directive). Deze wet gaat in op 15 augustus 2026.

De ministeries wijzen per sector aan welke organisaties als kritieke entiteiten gelden. Alleen deze organisaties vallen onder de Wwke en krijgen een formele aanwijzing. Dit gebeurt zo snel mogelijk na het van kracht worden van de wet. Na aanwijzing heeft een organisatie 9 maanden de tijd om een risicobeoordeling uit te voeren. Binnen 10 maanden na aanwijzing moeten organisaties aan de zorgplicht en de meldplicht voldoen.

Kritieke entiteiten zijn automatisch ook essentiële entiteiten in de zin van de Cyberbeveiligingswet (Cbw). Een organisatie die is aangewezen als kritieke entiteit moet aan de verplichtingen uit de Cbw voldoen.

Verplichte risicobeoordeling

Kritieke entiteiten moeten een verplichte brede risicobeoordeling maken, met aandacht voor alle mogelijke dreigingen die hun dienstverlening kunnen verstoren. Denk bijvoorbeeld aan:

  • Door de mens veroorzaakte dreigingen, zoals terroristische misdrijven, sabotage, (fysieke) criminaliteit, verstoringen door demonstraties of maatschappelijke onrust en vormen van hybride of andere vijandige dreigingen gericht op kritieke infrastructuur.
  • Natuurlijke dreigingen, zoals overstromingen, extreme weersomstandigheden, brand, pandemieën en andere gevolgen van klimaatverandering die de beschikbaarheid van locaties, installaties of personeel raken.

Zorgplicht en meldplicht

Een organisatie die is aangewezen door een ministerie, moet o.a. voldoen aan:

  • Zorgplicht: een organisatie moet passende maatregelen nemen om incidenten te voorkomen, ook fysiek, bijvoorbeeld door gebouwen en infrastructuur te beschermen.
  • Meldplicht: een organisatie moet incidenten melden die de dienstverlening ernstig kunnen verstoren. U doet melding binnen 24 uur.

Toezicht

Vanaf 15 augustus 2026 houdt de Rijksinspectie Digitale Infrastructuur (RDI) toezicht op organisaties die door het ministerie van Economische Zaken en Klimaat zijn aangewezen als kritieke entiteiten. Dit zijn organisaties uit de volgende sectoren: energie, ruimtevaart en digitale infrastructuur.

Voor de aangewezen organisaties uit de sectoren energie en ruimtevaart vormt de Wwke de wettelijke basis van ons toezicht. Voor organisaties uit de digitale infrastructuur is dat de Cyberbeveiligingswet (Cbw). Deze sector is namelijk uitgezonderd van de risicobeoordeling, de zorgplicht en de meldplicht in de Wwke (zie artikel 23 Wwke). Kritieke entiteiten onder de Wwke in deze sector moeten wel voldoen aan de verplichtingen van de Cbw.

Meer weten