Nieuwsbrief
Zoeken
Strategie

EU sleept Nederland voor de rechter: waarom de CER-richtlijn direct op de boardroom-agenda moet

De CER-richtlijn moet ervoor zorgen dat aanbieders van ‘vitale diensten’ zoals energie, transport, drinkwater, voedsel, gezondheidszorg, banken en digitale infrastructuur, bestand zijn tegen alle vormen van ontwrichting.
De CER-richtlijn moet ervoor zorgen dat aanbieders van ‘vitale diensten’ zoals energie, transport, drinkwater, voedsel, gezondheidszorg, banken en digitale infrastructuur, bestand zijn tegen alle vormen van ontwrichting.Gemini/AI
Leestijd 5 minuten

De Europese Commissie sleept Nederland voor de rechter omdat het de omzetting van de Critical Entities Resilience (CER)-richtlijn vertraagt. Dit is geen bureaucratisch ICT-dossier, maar een acute prioriteit voor de boardroom. De CER-richtlijn verplicht vitale sectoren en hun toeleveranciers zich te wapenen tegen alle dreigingen, van sabotage tot natuurrampen. Wie nu niet ingrijpt, riskeert harde handhaving en contractbreuk, schrijft Madelein van der Hout in haar expertblog.

Over de Expert:
Madelein van der Hout
senior analist cybersecurity en risk Forrester Research,

In het kort:

Actualiteit: de EU daagt Nederland voor de rechter om vertraagde CER-wetgeving; Brussel eist direct dagelijkse dwangsommen.

Boardroom-impact: CER overstijgt IT en eist een geïntegreerd weerbaarheidsmodel op bestuursniveau (fysiek, cyber en personeel).

Ketenrisico: ook niet-vitale bedrijven worden hard geraakt; vitale klanten moeten strenge eisen contractueel doorvertalen naar hun SaaS- en logistieke leveranciers.

Op 7 mei besloot de Europese Commissie Bulgarije, Frankrijk, Luxemburg, Polen, Spanje, Zweden en Nederland voor het Hof van Justitie van de EU te dagen. De aanleiding klinkt bureaucratisch: deze zeven landen hebben de zogenoemde CER-richtlijn ruim achttien maanden na de deadline nog steeds niet in nationale wetgeving omgezet, maar het signaal is dat allerminst.

Vaste boete én dwangsom voor Nederland?

Brussel vraagt het Hof elk land direct een vaste boete en een dwangsom per dag op te leggen. Voor bestuurders van bedrijven in vitale sectoren betekent dit dat de tijd om zich rustig voor te bereiden voorbij is.

De CER staat voor Critical Entities Resilience Directive. De richtlijn moet ervoor zorgen dat aanbieders van ‘vitale diensten’. Denk hierbij aan sectoren zoals:

  • Energie

  • Transport

  • Drinkwater

  • Voedsel

  • Gezondheidszorg

  • Banken

  • Digitale infrastructuur

Deze sectoren moeten bestand zijn tegen alle vormen van ontwrichting. Het gaat daarbij niet alleen om cyberaanvallen, maar ook om sabotage, terrorisme, natuurrampen en hybride dreigingen.

In totaal vallen elf sectoren onder de richtlijn. Daarmee is de CER-richtlijn fundamenteel breder dan de bekendere NIS2-richtlijn, die zich beperkt tot cyberveiligheid.

Lees ook: Na de Odido Hack: met deze 5 stappen wordt jouw CRM (meer) cyberveilig

Drie redenen waarom deze EU-boete de handhaving verandert

Drie elementen maken deze ontwikkeling anders dan een doorsnee Brusselse procedure.

  1. 1.

    Directe financiële sancties: op grond van artikel 260, lid 3, van het EU-Werkingsverdrag kan zij dwangsommen al bij de eerste verwijzing eisen, zonder eerst een tweede uitspraak af te wachten. De Commissie heeft aangegeven dit principieel toe te passen bij te late omzetting. Voor lidstaten betekent dit directe financiële druk, terwijl het voor toezichthouders een stevig politiek mandaat oplevert om straks harder en sneller te handhaven dan destijds bij de invoering van de AVG.

  2. 2.

    Structureel probleem in de top: de samenstelling van de groep valt direct op. Geen rechtsstaat-zorgenkindjes, maar landen die normaal gesproken juist netjes op tijd zijn: Frankrijk, Zweden, Spanje, Luxemburg én dus Nederland. Wanneer dit soort lidstaten gezamenlijk een deadline mist, is dat geen administratieve slordigheid. Het probleem is structureel, omdat de richtlijn meerdere ministeries tegelijk raakt, overlapt met bestaande nationale regimes en definities bevat die Brussel bewust open heeft gelaten. Voor bedrijven betekent dit dat nationale uitwerkingen waarschijnlijk onderling zullen verschillen in reikwijdte, tijdlijnen en toezichthouder.

  3. 3.

    Koppeling met de ProtectEU-strategie: het Europese antwoord op hybride dreigingen. De Commissie heeft de gang naar het Hof expliciet in dat kader geplaatst. Voor bedrijfsleiders in vitale sectoren betekent dit dat gesprekken over weerbaarheid niet langer alleen met de IT-afdeling of privacytoezichthouder worden gevoerd, maar steeds vaker ook met de ministeries van Binnenlandse Zaken en Defensie.

Waarom dit een verplicht onderwerp voor de boardroom is

De CER-richtlijn vraagt om een aanpak die boven traditionele silo’s uitstijgt. In de meeste organisaties zijn cyberbeveiliging, fysieke beveiliging en bedrijfscontinuïteit ondergebracht in afzonderlijke kolommen, met eigen budgetten en rapportagelijnen. De richtlijn houdt daar geen rekening mee en verwacht een geïntegreerde verantwoording op bestuursniveau.

Concreet moet een aangewezen kritieke entiteit, zoals een regionaal drinkwaterbedrijf of een ziekenhuis, kort na aanwijzing de volgende zaken kunnen overleggen:

  • Een gedocumenteerde risicoanalyse.

  • Een door de directie goedgekeurd continuïteitsplan.

  • Een werkend meldkanaal voor incidenten.

  • Aantoonbare governance op bestuursniveau.

Aanwijzingen kunnen al binnen weken na inwerkingtreding van de nationale wetgeving plaatsvinden. Dat is een korte horizon voor organisaties die nu nog bij nul beginnen.

Voor bestuurders is het verstandig CER niet als losstaand traject te behandelen, maar te bundelen met aanpalende dossiers zoals NIS2, DORA voor de financiële sector en de Cyber Resilience Act voor producten met digitale elementen. Vier parallelle complianceprogramma’s leiden tot vier governance-overleggen, vier risicoanalyses en vier sets leveranciersvragenlijsten. Eén geïntegreerd weerbaarheidsmodel, met daarbovenop de specifieke verplichtingen per richtlijn, is goedkoper, sneller en beter uitlegbaar aan toezichthouders.

Ook als toeleverancier ontkom je niet aan de CER-eisen

Een belangrijk punt dat in de discussie vaak ondersneeuwt, is dat de gevolgen van CER ver buiten de aangewezen organisaties reiken. Aangewezen entiteiten moeten hun eisen doorvertalen naar toeleveranciers via contractclausules, auditrechten, meldplichten en attestaties op het gebied van fysieke en personele beveiliging. Dat betekent dat een SaaS-leverancier van een waterbedrijf, een logistiek partner van een ziekenhuis of een managed-serviceprovider van een bank aan dezelfde eisen moet voldoen, vaak met minder tijd en onderhandelingsruimte dan de aangewezen entiteit zelf.

Voor bedrijven die leveren aan vitale sectoren is het verstandig nu al in kaart te brengen welke klanten actief zijn in een van de elf CER-sectoren en welke contracten als eerste opnieuw worden onderhandeld. Wie wacht tot de eerste vragenlijst binnenkomt, betaalt twee keer: eenmaal voor de benodigde maatregelen en eenmaal voor de haast waarmee die moeten worden uitgevoerd. Bestuurders die pas via een spoedeisende contractheronderhandeling met CER worden geconfronteerd, lopen bovendien het risico vertrouwen te verspelen dat lastig is terug te winnen.

Lees ook: ‘De enorme potentiële schade van deze hack had het einde van McKinsey kunnen betekenen’

Stappenplan: hoe bereid je je bedrijf voor?

Drie acties zijn op dit moment zinvol voor bedrijven:

  1. 1.

    Voer een gap-analyse uit: doe dit op basis van de richtlijn zelf, niet via een tussenlaag en niet via NIS2, om vast te stellen welke bedrijfsonderdelen onder de reikwijdte vallen.

  2. 2.

    Breng leveranciersverplichtingen naar voren: neem de CER-eisen direct mee in de eerstvolgende contractcyclus, te beginnen met de top 10 meest materiële leveranciers.

  3. 3.

    Zet cyber- en fysieke scenario’s gezamenlijk op de oefenkalender: zoals een sabotage-incident dat ook IT-systemen raakt, een drone-incident bij een logistiek knooppunt of een toeleveringsverstoring in combinatie met een gerichte phishingcampagne. Juist deze combinaties staan centraal in CER en vormen het gebied waarop de meeste organisaties momenteel het minst zijn voorbereid.

Daarmee is de gang van Brussel naar het Hof is geen incident, maar het startsein voor een handhavingsregime waarin weerbaarheid een bestuurlijke verantwoordelijkheid wordt. Het is niet langer een onderwerp dat kan worden overgelaten aan de CISO of facilitair manager.

Madelein van der Hout, cybersecurity-expert van Forrester. Forrester
Madelein van der Hout, cybersecurity-expert van Forrester.Forrester

Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:

Delen:

Over de Expert:
Madelein van der Hout
senior analist cybersecurity en risk Forrester Research,
Madelein van der Hout is senior analist cybersecurity en risk bij onderzoeksbureau Forrester Research, waar ze organisaties helpt om hun security- en riskstrategie te vertalen naar concrete keuzes rond technologie, processen en governance. In haar rol volgt ze marktontwikkelingen bij securityvendors, beoordeelt ze capabilities en differentiatie (bijvoorbeeld in detectie & respons, exposure management en cloud security), en plaatst ze die in de context van actuele dreigingen en regelgeving. Ze werkt daarbij op het snijvlak van CISO-prioriteiten en inkoopbeslissingen: wat levert aantoonbaar risicoreductie op, wat is vooral marketing, en hoe bouw je een roadmap die zowel operationeel uitvoerbaar als bestuurlijk verdedigbaar is.

Lees ook

Meer voor jou

Meest gelezen