De CER en NIS2: Een onafscheidelijk duo voor de bescherming van onze infrastructuur

    - - - / 19 mei 2026

    De Europese lat ligt hoog (en Nederland loopt achter)

    Onlangs werd bekend dat de Europese Commissie Nederland, samen met zes andere lidstaten, voor het Hof van Justitie heeft gedaagd vanwege de te late omzetting van de Europese Critical Entities Resilience-richtlijn (CER) in nationale wetgeving. De CER en haar digitale tegenhanger, de NIS2-richtlijn, zijn Europese richtlijnen en werken niet rechtstreeks: elke lidstaat moet ze omzetten in eigen wetgeving. In Nederland gebeurt dat via twee wetten: de Wet weerbaarheid kritieke entiteiten (Wwke) als uitwerking van de CER, en de Cyberbeveiligingswet (Cbw) als uitwerking van NIS2. Beide wetten worden naar verwachting in het tweede kwartaal van 2026 gelijktijdig van kracht.

    Hoewel organisaties formeel door de vakminister moeten worden aangewezen en de wetgeving vertraging oploopt, kunnen zij niet achteroverleunen. De dreigingen die onder de CER vallen, zoals sabotage, fysieke verstoringen, natuurrampen en hybride dreigingen, wachten immers niet op de wetgever.

    CER & Wwke: meer dan alleen ‘fysieke beveiliging’

    De CER-richtlijn en de Wwke zijn wetten die organisaties in vitale sectoren verplicht om hun fysieke weerbaarheid te verhogen. Het doel is om ervoor te zorgen dat essentiële diensten, zoals de levering van drinkwater, energie, transport en bancair verkeer, blijven functioneren, ook bij fysieke dreigingen zoals natuurrampen, terrorisme, sabotage of technische storingen.

    Verplichtingen:

    De verplichtingen zijn bijna identiek opgebouwd aan de NIS2 (Zorgplicht en Meldplicht). Het grote verschil zit hem met name in het type dreiging: waar de Cbw zich richt op de ‘bits en bytes’, richt de Wwke zich op de ‘stenen en mensen’. De Wwke rust op drie centrale pijlers die organisaties dwingen om van een reactieve naar een proactieve houding te gaan:

    1) Identificatie & Risicobeheer (de analytische pijler)

    1. Naast lidstaten zelf, moeten organisaties periodiek een uitgebreide risicobeoordeling uitvoeren. Het is belangrijk dat je verder kijkt dan IT of diefstal. Je analyseert ook de impact van natuurrampen (overstromingen, extreme hitte), terrorisme, sabotage en zelfs hybride dreigingen. Het doel is om precies te weten waar de fysieke kwetsbaarheden van je kritieke processen liggen.

    2) Weerbaarheidsmaatregelen (de operationele pijler)

    1. Organisaties moeten passende en proportionele technische en organisatorische maatregelen nemen. Dit is de vertaling van je risicobeoordeling naar de praktijk. Denk bijvoorbeeld aan: het fysiek afschermen van kritieke locaties en infrastructuur, protocollen voor crisismanagement en hersteloperaties na een incident of het screenen van personeel op gevoelige posities om interne dreigingen te minimaliseren.

    3) Incidentbeheersing & Rapportage (de response pijler)

    1. Er is een strikte meldplicht bij de toezichthouder en het CSIRT voor significante incidenten. Dit houdt in dat een gebeurtenis die de levering van een essentiële dienst serieus verstoort, of dreigt te verstoren, direct moet worden gemeld. Dit stelt de overheid in staat om overkoepelend toezicht te houden en waar nodig sectordoorsnijdende hulp of coördinatie te bieden.

    De synergie: waarom CER niet zonder NIS2 kan

    De CER en NIS2 zijn twee zijden van dezelfde medaille. Waar NIS2 de digitale achterdeur bewaakt, richt de CER zich op de fysieke voordeur én alles wat de continuïteit van een essentiële dienst kan verstoren. Wanneer je aangewezen wordt als kritieke entiteit onder de Wwke, moet je ook voldoen aan de Cbw. Een organisatie wordt dus pas echt ‘resilient’ als de organisatie een integrale aanpak kiest om de twee wetten te implementeren. Dat vraagt een nauwe samenwerking tussen de CISO en de persoon verantwoordelijk voor de fysieke beveiliging.

    Voor organisaties die al met de Cbw (NIS2) bezig zijn, biedt de Wwke kansen om processen zoals incidentmelding en risicomanagement te stroomlijnen onder één governance structuur. Beide wetten vragen namelijk om een risico gebaseerde aanpak, waarom zou je voor iedere wet iets aparts implementeren terwijl dat samen kan. Dit levert een efficiëntievoordeel op.

    Waarom nu in actie komen?

    De rechtszaak van de EU bewijst dat de druk op het verstevigen van de vitale sectoren toeneemt. Zodra de Wwke definitief is, zal de implementatietijd kort zijn. Alhoewel, organisaties formeel aangewezen moeten worden door de minister als kritieke entiteit, kunnen sommige organisaties, zoals bijvoorbeeld de waterschappen, ervan uitgaan dat dat zal gebeuren. Begin daarom nu al met een GAP-analyse om te inventariseren waar de organisatie nu ten opzichte van de Wwke (in concept) tekortschiet. Breng ook in kaart welke onderlinge afhankelijkheden tussen sectoren er zijn (bijvoorbeeld energie en telecom), omdat dit ook essentieel is om een goede risicoanalyse uit te voeren.

    Conclusie: van compliance naar concurrentievoordeel

    De recente stap van de Europese Commissie om Nederland voor de rechter te dagen, benadrukt dat de tijd van vrijblijvendheid definitief voorbij is. Hoewel de politieke vertraging van de Wwke voor verwarring zorgt, mogen we de achterliggende realiteit niet uit het oog verliezen: onze vitale infrastructuur is kwetsbaarder dan ooit voor fysieke dreigingen en sabotage.

    Het is verleidelijk om de Wwke te zien als de zoveelste administratieve last, maar de voorlopers in de markt zien een ander perspectief. Juist in een wereld waarin ketenafhankelijk enorm is, wordt weerbaarheid een strategisch bezit. Organisaties die kunnen aantonen dat zij zowel hun digitale achterdeur (Cbw/NIS2), als hun fysieke voordeur (Wwke/CER) op orde hebben, zijn de partners waar de markt op bouwt.

    Door nu alvast de principes van de Wwke te omarmen, transformeer je compliance van een verplichting naar een concurrentievoordeel. Je bent immers niet ‘alleen klaar voor de wet’, maar je garandeert de continuïteit van jouw dienstverlening in een onvoorspelbare wereld. Wacht niet op de definitieve wetstekst, de blauwdruk uit Brussel en het concept liggen er al. Wie nu acteert, bouwt aan een fundament dat bestand is tegen de schokken van morgen.

    Hulp nodig bij de vertaalslag?

    De complexiteit van de Wwke, zeker in combinatie met lopende Cbw-trajecten, vraagt om een integrale aanpak. Het risico op overlap of blinde vlekken tussen fysiek en digitale beveiliging is groot. Heb je ondersteuning nodig bij het uitvoeren van een integrale risicobeoordeling of het implementeren van de specifieke verplichtingen uit de Wwke?Neem contact met ons op voor een verkennend gesprek. Samen zorgen we ervoor dat jouw organisatie niet alleen voldoet aan de wet, maar echt onverstoorbaar wordt.

    Sluit aan bij ons gratis webinar over de Cyberbeveiligingswet

    Tijdens ons webinar helpen we je op weg met de NIS2/Cyberbeveiligingswet. We leggen kort uit wat de wet inhoudt, hoe BIO2.0 als praktisch kader kan dienen en wat de nieuwe bestuurdersverantwoordelijkheid concrete betekent.

    Inschrijven webinar
    Terug naar overzicht

    Melanie van Leeuwen

    Compliance Consultant
    Lees meer
    CTA - Security compliance

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram