Richtlijn kritieke entiteiten en de Noordzee infrastructuur

Europees kader weerbaarheid kritieke entiteiten

Tegelijk met de NIS2-richtlijn en de DORA is ook de nieuwe richtlijn ‘weerbaarheid kritieke entiteiten’ gepubliceerd eind december 2022 (in het Engels afgekort als CER ‘Critical Entities Resilience’)¹. En dat betekent dat ook voor deze richtlijn de implementatietermijn inmiddels loopt. Deze richtlijn past in de ontwikkeling van Europese wetten en regels over de beveiliging van de vitale infrastructuur van de Europese lidstaten.

De CER-richtlijn en de NIS2 zullen in de praktijk vaak op elkaar aansluiten, of zelfs overlappen. Hierbij is de gedachte dat de CER-richtlijn de fysieke en niet-cyber gerelateerde weerbaarheid moet vergroten, en dat de NIS2-richtlijn de digitale cyber gerelateerde weerbaarheid moet versterken van de vitale infrastructuur van de Europese Unie.

Kort samengevat; fysieke weerbaarheid bij de CER en digitale weerbaarheid bij de NIS2. Maar zo constateerde ook de Europese wetgever; fysieke en digitale beveiliging hebben steeds meer raakvlakken.

Verplichtingen en sancties voor kritieke entiteiten

De nieuwe CER-richtlijn schrijft verplichtingen voor waaraan kritieke entiteiten moeten voldoen, en waarop lidstaten ook toezicht en handhaving moeten inrichten inclusief sancties.

Prevent, detect & repsons   

Kritieke entiteiten moeten bijvoorbeeld maatregelen nemen om incidenten te voorkomen, de gevolgen van incidenten beperken of die helpen om adequaat te herstellen als er zich toch een incident heeft voorgedaan.

Meldplicht

Daarnaast schrijft de CER-richtlijn voor dat incidenten moeten worden gemeld binnen 24 uur, gevolgd door een gedetailleerd verslag uiterlijk een maand later.

Van Europese naar nationale ontwikkelingen

Voor nu wordt volstaan met dit overzicht. Ook omdat de CER-richtlijn tal van uitzonderingen kent die van invloed zijn op de eerder genoemde Europese cyberwetten. Voor dit moment willen wij met deze bijdrage graag wijzen op het landschap aan ontwikkelingen.

Vaak gaat het dan om ‘Europese blik’ op wet- en regelgeving. Maar steeds vaker zijn er ook op nationaal niveau regels die gaan over de bescherming van de vitale infrastructuur. En in dat kader staan wij nu kort stil bij de bescherming van de Noordzee-infrastructuur.

Noordzee-infrastructuur

Zeker na het incident met de Nordstream 2 gaspijpleiding was er meer aandacht voor de bescherming van de vitale infrastructuur in de Noordzee. Maar eerder is ook al aandacht gevraagd voor dit onderwerp, door bijvoorbeeld het HCSS en door een motie in de Tweede Kamer.

Op 8 februari 2023 heeft het kabinet een brief gestuurd naar de Tweede Kamer over dit onderwerp. In die brief gaat het kabinet in op de ‘gezamenlijke strategie voor de bescherming van de Noordzee-infrastructuur’.

In de kabinetsbrief wordt stilgestaan bij de diverse domeinen die worden bestreken door de ‘gezamenlijke strategie’. In het nationale (Nederlandse) kader wordt bijvoorbeeld stilgestaan bij de diverse publieke en private partijen die betrokken zijn bij de bescherming van de Noordzee-infrastructuur:

• Nationaal Coördinator Veiligheid en Terrorismebestrijding in samenwerking met de ministeries van Economische Zaken en Infrastructuur en Waterstaat, Defensie, AIVD, Politie de veiligheidsregio’s en de vitale aanbieders.

Europees verband

Bijzonder is dat in de ‘gezamenlijke strategie’ – in het kader van de bescherming van de Noordzee-infrastructuur –wordt gewezen op het belang van de NIS2- en de CER-richtlijn. En dat maakt het voor veel partijen nog belangrijker om van die regelgeving goed op de hoogte te zijn.

Meer weten?

Wilt u daarom meer weten over de CER- en NIS2-richtlijn? Wij gaan graag met u in gesprek over de (mogelijke) juridische gevolgen voor uw bedrijf.

¹ Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad