Een nieuwe Europese richtlijn voor Critical Entities Resilience (CER) moet aanbieders van vitale processen beschermen door het verhogen van de weerbaarheid. Dit moet de continuïteit van deze processen beter borgen.
De richtlijn richt zich op de fysieke veiligheid en de beveiliging van vitale processen zoals de drinkwatervoorziening en energie. Onder deze nieuwe richtlijn vallen meer sectoren dan alleen energie en transport, zoals bij de oude richtlijn het geval was. Nieuwe sectoren zijn voedselvoorziening, zorg, financiële marktinfrastructuur, drinkwater, digitale infrastructuur, afvalwater, overheidsdiensten, bankwezen en ruimtediensten.
De richtlijn betekent ook een uitbreiding van rechten en plichten van vitale aanbieders. Zo komt er een plicht om bepaalde incidenten te melden, vergelijkbaar met de huidige meldplicht bij cyberincidenten. Vitale aanbieders kunnen op dit moment een beroep doen op ondersteuning door de overheid bij digitale incidenten, bijvoorbeeld door het Nationaal Cyber Security Centrum (NCSC). Ook voor de fysieke kant zal er een bepaalde vorm van ondersteuning ingericht worden als gevolg van de nieuwe CER-richtlijn. Hierbij zal zoveel mogelijk gebruik worden gemaakt van bestaande structuren en aansluiting gezocht worden bij wat nu al goed werkt.
De CER-richtlijn biedt samen met de Network and Information Security 2 Directive (NIS2) een kader voor digitale en fysieke weerbaarheid van vitale aanbieders. Daarmee versterken de richtlijnen het fundament van fysieke en digitale veiligheid.
Na stemming in het Europees Parlement wordt de richtlijn naar verwachting in het najaar gepubliceerd en kan deze daarna voor medio 2024 worden omgezet in nationale wetgeving.
