Wat is de CER?
De CER-richtlijn treedt in vervanging van de Europese kritieke infrastructuur richtlijn (de ECI-richtlijn) en richt zich op de bescherming voor fysieke dreigingen zoals (terroristische) misdrijven, sabotage en natuurrampen. De Nederlandse overheid moet de richtlijn voor 17 oktober 2024 implementeren. Nederland zal bij deze implementatie zelf een nationale strategie moeten vaststellen en risicobeoordelingen uitvoeren om te bepalen welke entiteiten als essentieel voor de samenleving of economie worden beschouwd.
Op wie is de CER van toepassing?
Lidstaten moeten uiterlijk op 17 juli 2026 kritieke entiteiten identificeren voor de in de bijlage beschreven sectoren. Dit zijn onder andere de gezondheids-, bancaire- en energiesector. In Nederland worden deze entiteiten aangewezen door de ministeries die verantwoordelijk zijn voor die sector. Bij deze selectie wordt meegenomen in welke mate een entiteit van vitaal en essentieel maatschappelijk belang is.
De CER is in ieder geval van toepassing op entiteiten die al eerder binnen één van de sectoren als ‘vitale aanbieder’ zijn aangemerkt. Deze bedrijven kunnen dus al met zekerheid beginnen met de voorbereidingen. De CER is daarentegen niet van toepassing op entiteiten waar de NIS2-richtlijn op van toepassing is [zie blogreeks NIS2].
De kritieke entiteiten krijgen binnen een maand na de identificatie een bericht van het ministerie. Zij worden hierbij geïnformeerd over de verplichtingen die op hen van toepassing zijn. Vervolgens hebben de betrokken entiteiten tot 10 maanden na kennisgeving om aan de verplichte bepalingen te voldoen.
Wat zijn de verplichtingen onder de CER?
Telkens als het nodig is, of in ieder geval om de vier jaar, zorgen de lidstaten ervoor dat kritieke entiteiten alle relevante risico’s beoordelen die de verlening van hun essentiële diensten kunnen verstoren. Hierbij moeten alle relevante risico’s die door fysieke dreiging veroorzaakt zijn, in aanmerking genomen worden.
De entiteiten hebben een zorgplicht om maatregelen te nemen afgestemd op hun uitgevoerde risicobeoordeling. Deze maatregelen moeten onder andere: zorgen voor fysieke bescherming, gevolgen van incidenten bestrijden en voorkomen dat zich incidenten voordoen.
Wanneer er zich toch een incident voordoet, moeten entiteiten dit binnen 24 uur melden aan de bevoegde autoriteit. Om uit te maken of een incident gemeld moet worden moet met name rekening gehouden worden met het aantal getroffen gebruikers, de duur van het incident en het getroffen geografische gebied.
Wat kunt u doen?
Zoals genoemd kunnen bedrijven die al eerder als ‘kritieke entiteit’ in de zin van één van de relevante sectoren zijn aangewezen verwachten dat zij óók als kritieke entiteit bij de CER aangewezen worden. Deze bedrijven kunnen dus al beginnen met het voorbereiden van een risicobeoordeling en het treffen van maatregelen om deze risico’s te beperken. Overige bedrijven kunnen zich ook alvast voorbereiden op de zorgplicht door risico’s te inventariseren en budget en capaciteit te reserveren dat nodig is om aan de richtlijn te voldoen.
Vragen?
Wilt u meer weten over de CER? Neem dan contact op met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity.
Nieuwsbrief
Wil je elke maand een overzicht van updates en blogs in je mailbox? Klik dan hier om je in te schrijven voor de nieuwsbrief!