Op 7 mei besloot de Europese Commissie Bulgarije, Frankrijk, Luxemburg, Polen, Spanje, Zweden en Nederland voor het Hof van Justitie van de EU te dagen. De aanleiding klinkt bureaucratisch: deze zeven landen hebben de zogenoemde CER-richtlijn ruim achttien maanden na de deadline nog steeds niet in nationale wetgeving omgezet, maar het signaal is dat allerminst.
Vaste boete én dwangsom voor Nederland?
Brussel vraagt het Hof elk land direct een vaste boete en een dwangsom per dag op te leggen. Voor bestuurders van bedrijven in vitale sectoren betekent dit dat de tijd om zich rustig voor te bereiden voorbij is.
De CER staat voor Critical Entities Resilience Directive. De richtlijn moet ervoor zorgen dat aanbieders van ‘vitale diensten’ - denk aan energie, transport, drinkwater, voedsel, gezondheidszorg, banken en digitale infrastructuur - bestand zijn tegen alle vormen van ontwrichting.
Het gaat daarbij niet alleen om cyberaanvallen, maar ook om sabotage, terrorisme, natuurrampen en hybride dreigingen. In totaal vallen elf sectoren onder de richtlijn. Daarmee is de CER-richtlijn fundamenteel breder dan de bekendere NIS2-richtlijn, die zich beperkt tot cyberveiligheid.
Wat betekent de EU-boete voor de handhaving van de CER-richtlijn?
Drie elementen maken deze ontwikkeling anders dan een doorsnee Brusselse procedure.
Ten eerste vraagt de Commissie direct om sancties. Op grond van artikel 260, lid 3, van het EU-Werkingsverdrag kan zij dwangsommen al bij de eerste verwijzing eisen, zonder eerst een tweede uitspraak af te wachten. De Commissie heeft aangegeven dit principieel toe te passen bij te late omzetting. Voor lidstaten betekent dit directe financiële druk, terwijl het voor toezichthouders een stevig politiek mandaat oplevert om straks harder en sneller te handhaven dan destijds bij de invoering van de AVG.
Ten tweede valt de samenstelling van de groep op. Geen rechtsstaat-zorgenkindjes, maar landen die normaal gesproken juist netjes op tijd zijn: Frankrijk, Zweden, Spanje, Luxemburg én dus Nederland. Wanneer dit soort lidstaten gezamenlijk een deadline mist, is dat geen administratieve slordigheid.
Het probleem is structureel, omdat de richtlijn meerdere ministeries tegelijk raakt, overlapt met bestaande nationale regimes en definities bevat die Brussel bewust open heeft gelaten. Voor bedrijven betekent dit dat nationale uitwerkingen waarschijnlijk onderling zullen verschillen in reikwijdte, tijdlijnen en toezichthouder.
Ten derde is de CER-richtlijn nadrukkelijk gekoppeld aan de bredere ProtectEU-strategie, het Europese antwoord op hybride dreigingen. De Commissie heeft de gang naar het Hof expliciet in dat kader geplaatst. Voor bedrijfsleiders in vitale sectoren betekent dit dat gesprekken over weerbaarheid niet langer alleen met de IT-afdeling of privacytoezichthouder worden gevoerd, maar steeds vaker ook met de ministeries van Binnenlandse Zaken en Defensie.
Waarom dit een onderwerp voor de boardroom is
De CER-richtlijn vraagt om een aanpak die boven traditionele silo’s uitstijgt. In de meeste organisaties zijn cyberbeveiliging, fysieke beveiliging en bedrijfscontinuïteit ondergebracht in afzonderlijke kolommen, met eigen budgetten en rapportagelijnen. De richtlijn houdt daar geen rekening mee en verwacht een geïntegreerde verantwoording op bestuursniveau.
Concreet moet een aangewezen kritieke entiteit, zoals een regionaal drinkwaterbedrijf of een ziekenhuis, kort na aanwijzing een gedocumenteerde risicoanalyse, een door de directie goedgekeurd continuïteitsplan, een werkend meldkanaal voor incidenten en aantoonbare governance kunnen overleggen. Aanwijzingen kunnen al binnen weken na inwerkingtreding van de nationale wetgeving plaatsvinden. Dat is een korte horizon voor organisaties die nu nog bij nul beginnen.
Voor bestuurders is het verstandig CER niet als losstaand traject te behandelen, maar te bundelen met aanpalende dossiers zoals NIS2, DORA voor de financiële sector en de Cyber Resilience Act voor producten met digitale elementen. Vier parallelle complianceprogramma’s leiden tot vier governance-overleggen, vier risicoanalyses en vier sets leveranciersvragenlijsten. Eén geïntegreerd weerbaarheidsmodel, met daarbovenop de specifieke verplichtingen per richtlijn, is goedkoper, sneller en beter uitlegbaar aan toezichthouders.
Ook als een organisatie geen kritieke entiteit is, krijgt zij met CER te maken
Een belangrijk punt dat in de discussie vaak ondersneeuwt, is dat de gevolgen van CER ver buiten de aangewezen organisaties reiken. Aangewezen entiteiten moeten hun eisen doorvertalen naar toeleveranciers via contractclausules, auditrechten, meldplichten en attestaties op het gebied van fysieke en personele beveiliging. Dat betekent dat een SaaS-leverancier van een waterbedrijf, een logistiek partner van een ziekenhuis of een managed-serviceprovider van een bank aan dezelfde eisen moet voldoen, vaak met minder tijd en onderhandelingsruimte dan de aangewezen entiteit zelf.
Voor bedrijven die leveren aan vitale sectoren is het verstandig nu al in kaart te brengen welke klanten actief zijn in een van de elf CER-sectoren en welke contracten als eerste opnieuw worden onderhandeld. Wie wacht tot de eerste vragenlijst binnenkomt, betaalt twee keer: eenmaal voor de benodigde maatregelen en eenmaal voor de haast waarmee die moeten worden uitgevoerd. Bestuurders die pas via een spoedeisende contractheronderhandeling met CER worden geconfronteerd, lopen bovendien het risico vertrouwen te verspelen dat lastig is terug te winnen.
Stappenplan voor bedrijven: de voorbereiding op de CER-wetgeving
Drie acties zijn op dit moment zinvol. Voer een gap-analyse uit op basis van de richtlijn zelf, niet via een tussenlaag en niet via NIS2, om vast te stellen welke bedrijfsonderdelen onder de reikwijdte vallen. Breng leveranciersverplichtingen naar voren in de eerstvolgende contractcyclus, te beginnen met de tien meest materiële leveranciers.
Zet daarnaast cyber- en fysieke scenario’s gezamenlijk op de oefenkalender, zoals een sabotage-incident dat ook IT-systemen raakt, een drone-incident bij een logistiek knooppunt of een toeleveringsverstoring in combinatie met een gerichte phishingcampagne. Juist deze combinaties staan centraal in CER en vormen het gebied waarop de meeste organisaties momenteel het minst zijn voorbereid.
Daarmee is de gang van Brussel naar het Hof is geen incident, maar het startsein voor een handhavingsregime waarin weerbaarheid een bestuurlijke verantwoordelijkheid wordt. Het is niet langer een onderwerp dat kan worden overgelaten aan de CISO of facilitair manager.
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
