Bouw aan een veilige toekomst: Een strategische benadering van de Wet Weerbaarheid Kritieke Entiteiten

De WWKE verplicht elf sectoren tot meer weerbaarheid. Bereid je organisatie voor op deze wet en een veiligere toekomst.

In een tijd waarin de wereld steeds complexer en onvoorspelbaarder wordt, heeft de EU de Critical Entities Resilience Directive (CER-richtlijn) geïntroduceerd om de weerbaarheid en veerkracht van Europa's essentiële diensten te versterken. In Nederland wordt de Wet Weerbaarheid Kritieke Entiteiten (WWKE) in de wet verankerd in Q2 2026*. Deze wet beslaat een breed scala van elf sectoren en verplicht organisaties, die cruciaal zijn voor onze economische en maatschappelijke functies, om hun weerbaarheid te vergroten. De WWKE is meer dan een wettelijke vereiste; het is een kans om strategisch aanpassingsvermogen én competitieve slagkracht te vergroten. Ontdek hoe je jouw organisatie kunt voorbereiden op de uitdagingen van morgen en met vertrouwen de toekomst kunt vormgeven.

Waarom is de WWKE van belang?

Organisatorische weerbaarheid is nu een wettelijke verwachting binnen Nederland (en de EU). De WWKE realiseert een proactieve houding van Nederlandse organisaties ten aanzien van diverse bedreigingen: van natuurrampen tot geavanceerde cyber- en terroristische aanvallen. De WWKE benadrukt de noodzaak voor organisaties om een sterk aanpassingsvermogen en robuust incident respons proces te ontwikkelen.

Is jouw bedrijf onderhevig aan de WWKE?

Door de bredere sectordekking van de WWKE vallen veel organisaties, inclusief organisaties die voorheen weinig te maken hebben gehad met weerbaarheidsmandaten, nu ook onder deze regelgeving. Een belangrijk aspect is dat de CER-richtlijn zich niet enkel beperkt tot grote entiteiten; het erkent dat zelfs kleinere organisaties (inter)nationale impact kunnen hebben. De ministeries gerelateerd aan onderstaande sectoren wijzen kritieke entiteiten zelf aan. Er zijn enkele organisaties buitengesloten voor de wet, zoals het MIVD, AIVD en Politie en er zijn drie sectoren waarbij minder artikelen van toepassing zijn zoals het bankwezen, financiële markt en digitale infrastructuur.

Wanneer en hoe wordt jouw bedrijf beïnvloed?

Na de invoering van de WWKE in de Nederlandse wetgeving, zullen ministeries kritieke entiteiten aanwijzen. Hoewel de aanwijzing van kritieke entiteiten kan doorlopen tot juli 2026, hebben organisaties tot slechts tien maanden na aanwijzing de tijd om naleving aan te tonen. Organisaties die waarschijnlijk aan de WWKE moeten voldoen, worden geadviseerd onmiddellijk te beginnen met voorbereidingen om de potentiële risico's van niet-naleving te vermijden.

Uiteindelijk zullen aangewezen organisaties verplicht zijn om:

1. Een risicoanalyse uit te voeren, waaronder het:

• Scannen van continuïteitsrisico’s en dreigingslandschap (natuurlijk, technologie, geopolitiek);
• Definiëren van de minimaal levensvatbare organisatie en identificatie van kritieke diensten (processen en activiteiten);
• Identificatie van kritieke afhankelijkheden (machines, locaties, medewerkers, IT/OT, data, derde partijen);
• In kaart brengen van risico's op kritieke afhankelijkheden, de huidige maatregelen en het evalueren van de resterende risico's.

2. Weerbaarheidsplannen en -maatregelen te ontwikkelen, met inachtneming van:

• Het implementeren van maatregelen om het continuïteitsrisico te mitigeren als het restrisico hoger is dan de risicotolerantie;
• Het ontwikkelen, oefenen en verbeteren van weerbaarheidsplannen (business continuity plan en disaster recovery plan).

3. Incidentrespons- en meldingsprotocollen vaststellen;

• Een incidentresponsplan omvat het proces van identificatie, inperking, uitroeiing en herstel, evenals een communicatieplan en een methode voor het analyseren van incidenten;
• Afspreken van protocollen met derde partijen die ondersteuning bieden tijdens incidenten en verstoringen.

Hoe kan ik beginnen met voorbereiden?

Een goede eerste stap is om jezelf vertrouwd te maken met de nationale wetgeving, zodat je kunt beoordelen of jouw bedrijf zal worden aangewezen als een kritieke entiteit. Indien dit het geval is, is het belangrijk om de vereisten van de WWKE te begrijpen.

Ten tweede, verkrijg inzicht in de huidige volwassenheid van jouw business continuity management. Voer vervolgens een gapanalyse uit om jouw continuïteitssysteem te herzien en te verbeteren. Houd er echter rekening mee dat dit geen eenmalige oefening is, maar een continue inspanning van jouw organisatie vereist. Zorg ervoor dat je inzicht verkrijgt in jouw behoefte aan middelen tijdens en na het weerbaarheidsprogramma.

Slechts naleving of een strategisch voordeel?

De WWKE gaat niet alleen over naleving, het biedt bedrijven kans om een strategische benadering ten opzichte van weerbaarheid aan te nemen. De WWKE kan worden gezien als een hulpmiddel - in plaats van het einddoel - om organisaties te evolueren van een reactieve mentaliteit naar organisaties met preventief en adaptief weerbaarheidsvermogen.

Bedrijfsweerbaarheid is zowel een waardebeschermende als waardecreërende investering. Door een strategische aanpak te volgen, kunnen bedrijven:

• Operationele efficiëntie identificeren en benutten die de weerbaarheid versterkt.
• De investeringsbereidheid van externen in hun organisatie vergroten.
• Profiteren van verstoringen door beter voorbereid te zijn dan concurrenten.
• Innovatie bevorderen door weerbaarheid te integreren in bedrijfsmodellen en -praktijken.

Weerbare ondernemingen zijn duurzaam en in staat om continuïteit te handhaven ondanks productie-verstorende dreigingen. Een degelijke methodologie voor operationele weerbaarheid is cruciaal om dit te bereiken. Weerbare ondernemingen zijn tevens op de lange termijn levensvatbaar en kunnen omgaan met strategische verandering en een sterk bewegend dreigingslandschap. Onderstaand figuur toont een volwassen proces dat anticipeert op korte termijn en lange termijn disrupties en jouw organisatie adaptief meebeweegt om met de nieuwe situatie om te gaan.

Wil je weten of jouw organisatie straks onder de WWKE valt? Meld je hieronder aan om op de hoogte te blijven van de WWKE en om uitgenodigd te worden voor workshops die je helpen bij het begrijpen van de nationale regelgeving inzake weerbaarheid, het verbeteren van methodologieën en het toepassen van nuttige technologieën voor operationele weerbaarheidsprogramma's.