Wet weerbaarheid kritieke entiteiten (Wwke)

In onze huidige samenleving waarin verschillende infrastructuren sterk met elkaar verbonden zijn, hebben verstoringen grote impact op essentiële infrastructuur. Denk aan elektriciteitsuitval in ziekenhuizen, het stilvallen van logistieke ketens door een cyberaanval, of betalingsverkeer dat wordt onderbroken door een IT-incident. Zulke verstoringen hebben niet alleen maatschappelijke impact, maar raken organisaties direct in hun continuïteit, reputatie en wettelijke verantwoordelijkheden.

Om deze risico’s structureel te verkleinen heeft de Europese Unie de Critical Entities Resilience Directive (CERD) ingevoerd. Deze richtlijn verplicht lidstaten om kritieke sectoren beter voor te bereiden op het voorkomen, opvangen en herstellen van verstoringen – ongeacht of deze worden veroorzaakt door cyberdreigingen, fysieke incidenten, natuurrampen of hybride aanvallen. CERD introduceert hiervoor gezamenlijke weerbaarheidsnormen en versterkt samenwerking tussen overheden en kritieke organisaties binnen Europa.

CERD vormt het Europese kader, maar wordt in elke lidstaat nationaal uitgewerkt. In Nederland gebeurt dit via de Wet weerbaarheid kritieke entiteiten (Wwke). Deze wet vertaalt de Europese uitgangspunten naar concrete verplichtingen voor organisaties die een essentiële rol spelen in de Nederlandse samenleving. De Wwke richt zich op sectoren waarvan de uitval directe maatschappelijke en economische schade kan veroorzaken, zoals energie, transport en zorg. Voor organisaties binnen deze sectoren betekent dit dat zij aantoonbaar inzicht moeten hebben in hun risico’s, in hun weerbaarheidsmaatregelen, en hierover tijdig moeten rapporteren aan toezichthouders en bevoegde autoriteiten.

Wat betekent de Wwke voor jouw organisatie?

Wordt jouw organisatie als een kritieke entiteit beschouwd? Verken onze sectorkaart voor een snel overzicht van sectorspecifieke categorieën en klik op een sector.

Bankwezen

Deze sector omvat kredietinstellingen. Dit zijn ondernemingen die deposito's of andere terugbetaalbare gelden van het publiek verzamelen en kredieten verstrekken voor eigen rekening.

Energie

Elektriciteit
Deze subsector omvat bedrijven die één of meer van de volgende functies uitvoeren zonder zelf eindgebruiker te zijn; elektriciteit opwekken, elektriciteit transporteren via transmissie- of distributienetwerken, elektriciteit leveren of inkopen, elektriciteitsnetwerken beheren, aggregatiediensten leveren, de vraag naar elektriciteit beheren (vraagrespons), energie opslaan en deelnemen aan elektriciteitsmarkten als koper, verkoper of marktoperator.
Stadsverwarming en -koeling
Deze subsector omvat bedrijven die thermische energie in de vorm van stoom, warm water of gekoelde vloeistoffen distribueren vanuit centrale of decentrale productiebronnen via een netwerk dat meerdere gebouwen of locaties bedient, voor het verwarmen of koelen van ruimtes of processen.
Olie
Deze subsector omvat bedrijven die oliepijpleidingen exploiteren, faciliteiten beheren voor de productie, raffinage, behandeling, opslag en transport van olie, en centrale opslagbedrijven die bevoegd zijn om olievoorraden te kopen, aan te houden en te verkopen, inclusief effecten en speciale voorraden.
Gas
Deze subsector omvat gasbedrijven die één of meer van de volgende functies uitvoeren zonder eindgebruiker te zijn; gaslevering, exploitatie van het distributiesysteem (inclusief onderhoud en ontwikkeling), exploitatie van het transmissiesysteem, exploitatie van opslagfaciliteiten en exploitatie van LNG-installaties (vloeibaarmaking, import, overslag en hervergassing van LNG). Zij zijn verantwoordelijk voor de commerciële, technische en onderhoudsactiviteiten die met deze functies samenhangen.
Waterstof
Deze subsector omvat bedrijven die installaties exploiteren voor de productie, opslag en transport van waterstof.

Gezondheidzorg

Deze sector omvat zorgverleners, zoals zorginstellingen en onafhankelijke zorgverleners, EU-referentielaboratoria die nationale laboratoria ondersteunen bij diagnostiek en monitoring, fabrikanten van basisproducten en -preparaten (waaronder geneesmiddelen en vaccins), en entiteiten met een groothandelsvergunning voor geneesmiddelen. Ook fabrikanten en distributeurs van belangrijke medische hulpmiddelen voor noodsituaties op het gebied van de volksgezondheid vallen hieronder.

Transport

Lucht
Deze subsector omvat bedrijven zoals luchtvaartmaatschappijen met een geldige exploitatievergunning, luchthavenbeheerders die de luchthaveninfrastructuur en -activiteiten coördineren, luchthavens die zijn uitgerust voor het landen, opstijgen en manoeuvreren van vliegtuigen, en luchtverkeersleidingsdiensten die botsingen voorkomen en zorgen voor een ordelijk verloop van het luchtverkeer.
Spoor
Deze subsector omvat bedrijven die spoorwegnetwerken aanleggen, beheren en onderhouden (infrastructuurbeheerders), erkende spoorwegondernemingen die goederen- of personenvervoer per spoor verzorgen, en exploitanten van servicefaciliteiten die diensten verlenen aan spoorwegondernemingen.
Water
Deze subsector omvat bedrijven die maritiem transport verzorgen (binnenvaart, kustvaart en zeevaart), haven- en havenfaciliteitenbeheerders en exploitanten van scheepvaartverkeersbeheersystemen (VTS) die de veiligheid, efficiëntie en milieubescherming van het scheepvaartverkeer waarborgen door middel van monitoring en controle.
Weg
Deze subsector omvat wegbeheerders die verantwoordelijk zijn voor de planning, controle en het beheer van wegen binnen hun territoriale jurisdictie, en exploitanten van intelligente transportsystemen (ITS) die ICT toepassen voor wegvervoer, verkeers- en mobiliteitsbeheer en integratie met andere transportmodaliteiten.
Openbaar vervoer
Deze subsector omvat exploitanten van openbare diensten, zoals publieke of private ondernemingen of overheidsdiensten, die openbaar personenvervoer aanbieden en exploiteren.

Ruimte- en satellietsystemen

Deze sector omvat exploitanten van grondfaciliteiten die eigendom zijn van, beheerd worden door of geëxploiteerd worden door lidstaten of particuliere partijen en die diensten vanuit de ruimte ondersteunen, met uitzondering van aanbieders van openbare elektronische communicatienetwerken.

Openbaar bestuur

Deze sector omvat overheidsinstanties die onder de centrale overheid vallen.

Digitale infrastructuur

Deze sector omvat bedrijven die internetknooppunten exploiteren, DNS-diensten leveren, topdomeinregisters beheren, cloudcomputing- en datacenterdiensten leveren, contentdistributienetwerken exploiteren, vertrouwensdiensten leveren en openbare elektronische communicatienetwerken en -diensten exploiteren, waaronder internettoegangsdiensten, interpersoonlijke communicatiediensten en transmissiediensten.

Drinkwater

Deze sector omvat leveranciers en distributeurs van water bestemd voor menselijke consumptie, oftewel water dat onbehandeld of behandeld wordt geleverd voor drinken, koken, voedselbereiding en andere huishoudelijke doeleinden, ongeacht de herkomst of leveringsmethode.

Afvalwater

Deze sector omvat ondernemingen die stedelijk, huishoudelijk en industrieel afvalwater inzamelen, lozen of behandelen, met uitzondering van ondernemingen waarvoor deze activiteiten geen essentieel onderdeel van hun algemene bedrijfsactiviteiten vormen.

Financiële marktinfrastructuur

Deze sector omvat exploitanten van handelsplatformen, zoals gereguleerde markten, MTF's en OTF's, en centrale tegenpartijen (CCP's) die als intermediair optreden in contracten op financiële markten, namens elke koper en verkoper.

Voedselproductie en -distributie

Deze sector omvat voedselbedrijven, zowel publiek als privaat, die actief zijn in één of meer stadia van de productie, verwerking en distributie van voedsel, met uitzondering van logistiek, groothandel en grootschalige industriële productie.

Wanneer gaat de Wwke van kracht?

De volgende data zijn in de komende maanden en jaren belangrijk voor organisaties om in gedachten te houden:

Januari 2026: Nederland neemt een strategie aan voor het versterken van de weerbaarheid van kritieke entiteiten.
Juli 2026: Nederland identificeert kritieke entiteiten en stelt de betreffende entiteiten binnen een maand na identificatie hiervan op de hoogte.
April-mei 2027: Aangewezen kritieke entiteiten voeren binnen negen maanden na aanwijzing een risicobeoordeling uit en tonen binnen tien maanden na aanwijzing aan dat zij voldoen aan de Wwke-vereisten.
Juli 2027: De Europese Commissie dient een rapport in bij het Europees Parlement en de Europese Raad waarin de naleving van de CERD wordt beoordeeld.

Verplichtingen voor organisaties onder Wwke

De Wwke verplicht bedrijven tot het nemen van de volgende maatregelen:

Risicobeoordeling

De kritieke entiteit moet periodiek een risicobeoordeling uitvoeren van alle relevante dreigingen voor haar essentiële diensten, rekening houdend met onderlinge afhankelijkheden. 

Zorgplicht

De kritieke entiteit moet passende maatregelen nemen om incidenten te voorkomen, op te vangen en de continuïteit van essentiële diensten te waarborgen. 

Meldplicht

De kritieke entiteit moet significante incidenten binnen 24 uur melden bij de bevoegde autoriteit en daarover nader rapporteren.

Hoe wij je helpen

Risk and Resilience Assessment
We werken met je samen om kwetsbaarheden te identificeren en te begrijpen op basis van gedetailleerde beoordelingen. Onze inzichten helpen de verdediging van je organisatie te versterken en de naleving van de Wwke-regelgeving te waarborgen.

Versterk de operationele weerbaarheid
Met het implementeren van robuuste maatregelen helpen we je verstoringen te voorkomen en te verminderen. Het resultaat is een naadloze bedrijfsvoering en beschermde vitale systemen.

Zekerheid over de regelgeving
Door continu te voldoen aan veranderende wettelijke normen voorkom je boetes en versterk je zowel je compliance als de reputatie van de organisatie.

Bouw aan een veerkrachtige organisatie
Ontwikkel herstelplannen waardoor je bedrijf naadloos blijft functioneren. Hierdoor blijf je zelfs onder druk, veerkrachtig en voorbereid op onverwachte uitdagingen. Wij helpen je de geschikte medewerkers te trainen en simulaties uit te voeren om de paraatheid te versterken.

No Regret steps

Veel organisaties hebben initiatieven op het gebied van veerkracht, maar kwetsbaarheden liggen op de loer bij beperkte coördinatie en inzicht in externe afhankelijkheden. Door je organisatie in lijn te brengen met de CER-richtlijn en de nationale Wwke, versterk je de veerkracht, verbeter je de strategische positionering en vergroot je het concurrentievoordeel.

Veerkracht positioneren als strategisch voordeel
Veerkracht is niet alleen een verplichting, maar ook je strategische troef die waarde toevoegt. Een Readiness workshop kan je helpen bij het evalueren van governance en processen die zijn afgestemd op de omvang, reikwijdte en regelgeving van je organisatie.

De businesscase opstellen
Voer een resilience assessment uit om de veerkrachtvolwassenheid van je organisatie te meten. Dit levert duidelijke inzichten, een volwassenheidsscore en een voorkeursplan op om de veerkrachtcapaciteiten te versterken en te verbeteren.

Capaciteiten versterken
Ontwikkel een geïntegreerd risico- en veerkrachtraamwerk gericht op de belangrijkste waardefactoren. Gebruik horizonscanning en scenarioplanning om te anticiperen op toekomstige verstoringen en je team in staat te stellen risico's en kansen effectief te beoordelen.

Geïnteresseerd?

Neem contact op met onze experts om te ontdekken hoe het opbouwen van veerkracht en het voldoen aan wettelijke normen jouw concurrentievoordeel kan versterken en de kritieke activiteiten van je organisatie kan beschermen.