Wat is de Wwke?
Wwke staat voor de Wet weerbaarheid kritieke entiteiten en is de Nederlandse uitwerking van de Europese CER-richtlijn (Critical Entities Resilience, EU 2022/2557). De wet verplicht aangewezen organisaties tot aantoonbare weerbaarheid tegen alle relevante dreigingen — denk aan natuurrampen, sabotage, terrorisme en uitval van leveranciers.
De Wwke is de fysieke en organisatorische tegenhanger van de Cyberbeveiligingswet (die NIS2 implementeert): waar NIS2 de cyberweerbaarheid regelt, gaat de Wwke over weerbaarheid tegen alle vormen van verstoring van essentiële diensten.
🎯 Doel van de Wwke
- Continuïteit borgen van essentiële diensten voor de samenleving
- Risicogestuurde maatregelen verplicht stellen tegen fysieke en hybride dreigingen
- Meldplicht invoeren voor significante verstoringen
- Toezicht versterken via aangewezen sectorautoriteiten
🧱 Wie is een kritieke entiteit?
Kritieke entiteiten worden per sector aangewezen op basis van het maatschappelijk belang van hun dienst. De Wwke onderscheidt onder andere:
| Sector | Voorbeelden van diensten |
|---|---|
| Energie | Elektriciteit, gas, olie, warmte |
| Vervoer | Lucht-, weg-, spoor- en watertransport |
| Bank- en financieel verkeer | Betalingsverkeer, beurzen |
| Gezondheidszorg | Ziekenhuizen, geneesmiddelenketen |
| Drinkwater en afvalwater | Productie, distributie, zuivering |
| Digitale infrastructuur | Internet-exchanges, datacenters, DNS |
| Overheid | Centrale uitvoeringsdiensten |
| Voedsel | Productie, opslag en distributie |
Een organisatie is een kritieke entiteit zodra uitval significante maatschappelijke gevolgen zou hebben. De formele aanwijzing gebeurt door de minister.
🔐 Verplichtingen onder de Wwke
Kritieke entiteiten moeten:
- Een Risicobeoordeling uitvoeren op fysieke, hybride en personele dreigingen
- Een weerbaarheidsplan opstellen met technische én organisatorische maatregelen
- Maatregelen treffen voor toegangsbeveiliging, screening van personeel en bescherming van gevoelige informatie
- Voorzieningen treffen voor Business Continuity en Continuïteitsbeheer
- Significante incidenten melden bij de bevoegde autoriteit
- Meewerken aan toezicht, audits en oefeningen
🔄 Wwke versus Cyberbeveiligingswet
Veel organisaties vallen onder beide wetten. De Wwke regelt de fysieke en organisatorische weerbaarheid; de Cyberbeveiligingswet regelt de digitale weerbaarheid.
| Onderwerp | Wwke / CER | Cyberbeveiligingswet / NIS2 |
|---|---|---|
| Type weerbaarheid | Fysiek, hybride, all-hazards | Cyberweerbaarheid |
| Scope | Aangewezen kritieke entiteiten | Essentiële + belangrijke entiteiten |
| Aanwijzing | Per entiteit door de minister | Op basis van sector en omvang |
| Centrale autoriteit | Sectorautoriteiten + NCTV | RDI, sectorautoriteiten, NCSC |
Een geïntegreerde aanpak voor IT én OT voorkomt dubbel werk en sluit aan op gangbare kaders zoals IEC 62443.
🏭 Wat betekent dit voor IT en OT?
De Wwke raakt nadrukkelijk industriële omgevingen:
- Fysieke beveiliging van procesinstallaties, SCADA-ruimten en PLC-kasten
- Personele weerbaarheid: screening van operators en onderhoudspartijen
- Leveranciersafhankelijkheid: borging tegen uitval van kritieke toeleveranciers
- Crisisrespons integreren met cyberprocessen via een Incident Response Plan en Crisiscommunicatieplan
- Aansluiting op IEC 62443 voor de cybercomponent van het weerbaarheidsplan
📌 Samengevat
De Wwke is de Nederlandse implementatie van de Europese CER-richtlijn en verplicht kritieke entiteiten tot een aantoonbaar weerbaarheidsbeleid tegen álle relevante dreigingen. Samen met de Cyberbeveiligingswet vormt de Wwke het wettelijke fundament voor de bescherming van Kritieke Infrastructuur in Nederland.