De CER-richtlijn is de Europese wet voor de fysieke weerbaarheid van organisaties in vitale sectoren. Binnen elf vitale sectoren geldt voor aangewezen kritieke entiteiten een meldplicht binnen 24 uur bij een verstorend incident. CER staat voor Critical Entities Resilience: het gaat dus niet om CE-markering van producten en niet om emissiereductiecredits.
De richtlijn (EU 2022/2557) wijst elf sectoren aan en laat lidstaten per sector bepalen welke organisaties kritieke entiteit zijn. Die organisaties moeten risico’s beoordelen, beschermende maatregelen nemen en verstorende incidenten melden.
Word je aangewezen, dan krijg je een zorgplicht en een meldplicht. Een significant incident meld je binnen 24 uur. Niet voldoen kan leiden tot sancties en, in het uiterste geval, bestuursaansprakelijkheid.
De CER-richtlijn raakt kritieke entiteiten in onder meer energie, vervoer, drinkwater, gezondheidszorg en de overheid. Het verantwoordelijke ministerie wijst ze per sector aan na een risicobeoordeling.
In Nederland is de richtlijn nog niet in werking. De vertaling, de Wet weerbaarheid kritieke entiteiten (Wwke), is op 15 april 2026 door de Tweede Kamer aangenomen; de Eerste Kamer stemde op 7 juli 2026 in, en de wet treedt op 15 augustus 2026 in werking (NCSC, 2026).
Wacht je op de aanwijzing, dan ben je laat: de ICT- en informatiebeveiligingskant van de zorgplicht kost maanden voorbereiding. Die kant kun je nu al inrichten op de ISO 27001-norm.
Wat is de CER-richtlijn?
De CER-richtlijn is de Europese richtlijn voor de weerbaarheid van kritieke entiteiten, voluit Richtlijn (EU) 2022/2557, vastgesteld op 14 december 2022 (EUR-Lex, 2022). Het doel is dat organisaties die essentiële diensten leveren bestand zijn tegen fysieke dreigingen zoals sabotage, terrorisme, natuurrampen, volksgezondheidscrises en hybride dreigingen.
De richtlijn vult de NIS2-richtlijn aan. Waar de NIS2-richtlijn over digitale en cyberweerbaarheid gaat, richt de CER-richtlijn zich op de fysieke en operationele weerbaarheid van dezelfde groep vitale organisaties. Samen dekken ze de digitale en de fysieke kant van dezelfde dreiging af.
Waar staat CER voor?
CER staat voor Critical Entities Resilience, oftewel de weerbaarheid van kritieke entiteiten. De afkorting wordt vaak verward: CE-markering is een productkeurmerk en staat los van deze richtlijn, en CER-credits zijn emissiereductiecredits uit het klimaatdomein. Deze pagina gaat uitsluitend over de Critical Entities Resilience Directive en de Nederlandse uitwerking daarvan.
Van ECI-richtlijn naar CER-richtlijn
De CER-richtlijn vervangt de oude Europese richtlijn voor kritieke infrastructuur uit 2008 (de ECI-richtlijn, 2008/114/EG). Die oude richtlijn dekte alleen energie en vervoer. De CER-richtlijn breidt dat uit naar elf sectoren en legt voor het eerst concrete verplichtingen bij de organisaties zelf neer, niet alleen bij de lidstaten (EUR-Lex, 2022).
Voor wie geldt de CER-richtlijn?
De CER-richtlijn geldt voor kritieke entiteiten: organisaties die een essentiële dienst leveren binnen een van de elf aangewezen sectoren. Je valt er niet automatisch onder omdat je in zo’n sector werkt. Het verantwoordelijke ministerie wijst je aan na een risicobeoordeling, waarbij onder meer wordt gekeken naar je marktaandeel, het aantal gebruikers dat van je dienst afhankelijk is en de ernst en duur van de gevolgen van een uitval (Europa decentraal, 2024).
Een essentiële dienst is een dienst die cruciaal is voor vitale maatschappelijke functies, economische activiteiten, de volksgezondheid, de openbare veiligheid of het milieu (EUR-Lex, 2022). Lidstaten identificeren hun kritieke entiteiten uiterlijk op 17 juli 2026 (Europa decentraal, 2024).
De elf CER-sectoren
De bijlage van de richtlijn benoemt elf sectoren (EUR-Lex, 2022):
- Energie: elektriciteit, stadsverwarming en koeling, olie, gas en waterstof
- Vervoer: lucht, spoor, water, weg en openbaar vervoer
- Bankwezen: instellingen die bankdiensten verlenen
- Infrastructuur financiële markt: organisaties die financiële markten faciliteren
- Gezondheidszorg: ziekenhuizen, laboratoria en farmaceutische bedrijven
- Drinkwater: productie en distributie van drinkwater
- Afvalwater: inzameling, afvoer en zuivering van afvalwater
- Digitale infrastructuur: aanbieders van essentiële digitale diensten en infrastructuur
- Overheid: publieke administratie op centraal en regionaal niveau
- Ruimtevaart: grondinfrastructuur voor ruimtevaartdiensten
- Levensmiddelen: productie, verwerking en distributie van levensmiddelen
Onderlinge afhankelijkheid en ketenrisico
De CER-richtlijn weegt nadrukkelijk de afhankelijkheden tussen sectoren en landen. Een verstoring bij de ene entiteit kan een kettingreactie veroorzaken bij andere, ook over de grens. Daarom houdt de overheid bij de aanwijzing rekening met sector- en grensoverschrijdende afhankelijkheden (EUR-Lex, 2022).
Lever je dezelfde essentiële dienst in zes of meer EU-lidstaten, dan kun je worden aangemerkt als kritieke entiteit van bijzonder Europees belang, waarbij de Europese Commissie een extra rol speelt (ecer.minbuza, 2022).
Is de CER-richtlijn al verplicht in Nederland?
De CER-richtlijn is in Nederland nog niet in werking. De Europese transpositiedeadline was 17 oktober 2024, maar die heeft Nederland niet gehaald (De Clercq, 2024). De richtlijn wordt omgezet in de Wet weerbaarheid kritieke entiteiten (Wwke).
De Tweede Kamer heeft de Wwke op 15 april 2026 aangenomen, samen met de Cyberbeveiligingswet (Rijksoverheid, 2026). De Eerste Kamer stemde op 7 juli 2026 in met beide wetten; ze treden gelijktijdig op 15 augustus 2026 in werking (NCSC, 2026).
Na inwerkingtreding wijst het verantwoordelijke ministerie kritieke entiteiten aan. Daarna geldt een vast tijdpad: binnen een maand krijg je bericht van de aanwijzing, je hebt negen maanden voor een eigen risicobeoordeling en tien maanden om aan de zorgplicht en de meldplicht te voldoen (RDI, 2025).
De rekensom: negen tot tien maanden klinkt ruim, maar de inrichting van monitoring, back-up, toegangsbeheer en bewijsvoering kost het grootste deel van die tijd. De ICT-kant kun je nu al starten, los van de definitieve aanwijzing.
Wat als je niet voldoet aan de CER-richtlijn?
Niet voldoen aan de CER-richtlijn brengt toezicht en sancties met zich mee. De Wwke regelt het opleggen van sancties en biedt de mogelijkheid om bestuurders in een uiterst geval persoonlijk aansprakelijk te stellen (Data voor gezondheid, 2026). De concrete boetebedragen worden in lagere regelgeving vastgelegd en waren tijdens de parlementaire behandeling nog niet definitief (Eerste Kamer, 2026).
De cyberkant heeft wel al een concreet boeteregime. Een kritieke entiteit is in Nederland automatisch ook een essentiële entiteit onder de Cyberbeveiligingswet (RDI, 2025). Voor essentiële entiteiten kent die wet boetes tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet (Cyberbeveiligingswet, 2026).
Naast boetes speelt het commerciële gevolg. Opdrachtgevers en ketenpartners verlangen steeds vaker aantoonbare weerbaarheid voordat ze een contract sluiten. Kun je dat niet laten zien, dan val je af in de selectie.
Hoe werkt de CER-richtlijn?
De CER-richtlijn werkt via drie kernverplichtingen voor aangewezen kritieke entiteiten: een risicobeoordeling, een zorgplicht en een meldplicht. De overheid voert daarbovenop elke vier jaar per sector een eigen risicobeoordeling uit en deelt die met de entiteiten in die sector (EUR-Lex, 2022).
1. Risicobeoordeling
Binnen negen maanden na aanwijzing voert een kritieke entiteit een eigen risicobeoordeling uit (RDI, 2025). Die brengt zowel externe risico’s in kaart, zoals natuurrampen en sabotage, als interne risico’s, zoals ICT-uitval en personeelstekorten. De beoordeling herhaal je periodiek, minimaal elke vier jaar.
2. Zorgplicht
De zorgplicht verplicht je om op basis van de risico’s passende maatregelen te nemen die incidenten voorkomen, beperken en beheersen. Denk aan crisisbeheersing, fysieke toegangsbeveiliging en maatregelen voor bedrijfscontinuïteit (Data voor gezondheid, 2026). Een deel daarvan is ICT: monitoring, back-up en herstel. Wil je aantonen dat dit op orde is, dan helpt audit readiness voor de CER-richtlijn om het bewijs op tafel te krijgen.
3. Meldplicht
Een significant verstorend incident meld je binnen 24 uur bij de bevoegde autoriteit, via het meldportaal van het NCSC (Data voor gezondheid, 2026). Een incident is significant als het de levering van je essentiële dienst aanzienlijk verstoort of kan verstoren.
Wil je weten of jouw organisatie waarschijnlijk wordt aangewezen? Een CER-zelfscan helpt je dat in te schatten.
Belangrijke begrippen uit de CER-richtlijn
Deze begrippen kom je telkens tegen in de richtlijn en de Wwke. Hieronder staan ze in gewone taal.
Kritieke entiteit. Een organisatie die een essentiële dienst levert binnen een aangewezen sector en door de overheid formeel is aangewezen. De aanwijzing maakt het verschil, niet de sector op zich.
Essentiële dienst. Een dienst die cruciaal is voor vitale maatschappelijke functies, economische activiteiten, de volksgezondheid, de openbare veiligheid of het milieu.
Kritieke infrastructuur. De voorzieningen en systemen waarmee essentiële diensten worden geleverd, zoals netwerken, installaties en datacenters.
Zorgplicht. De plicht om risico’s te beoordelen en maatregelen te nemen die incidenten voorkomen, beperken en beheersen.
Meldplicht. De plicht om een significant incident binnen 24 uur te melden bij de bevoegde autoriteit.
Kritieke entiteit van bijzonder Europees belang. Een entiteit die eenzelfde essentiële dienst levert aan of in zes of meer EU-lidstaten.
Bevoegde autoriteit. De toezichthouder, in de praktijk per sector een ministerie of inspectie, die op de naleving toeziet en aanwijzingen geeft.
Hulpmiddelen voor de CER-richtlijn
Twee hulpmiddelen helpen je een eerste beeld te krijgen, gesorteerd van licht naar zwaar.
- CER-zelfscan: een korte vragenlijst die inschat of jouw organisatie waarschijnlijk als kritieke entiteit wordt aangewezen en waar je nu al kunt beginnen.
- Draaiboek incidentmelding: een stappenplan voor het melden van een significant incident binnen 24 uur, zodat de meldplicht niet op het moment zelf hoeft te worden uitgevonden.
Organisaties rond de CER-richtlijn
- Europese Commissie: stelt de CER-richtlijn op en beoordeelt entiteiten van bijzonder Europees belang.
- Ministerie van Justitie en Veiligheid: coördineert de Nederlandse implementatie via de Wwke.
- Verantwoordelijke vakministeries: wijzen per sector de kritieke entiteiten aan, bijvoorbeeld het ministerie van VWS voor de zorgsector.
- NCTV: de Nationaal Coördinator Terrorismebestrijding en Veiligheid, betrokken bij de nationale strategie en voorlichting.
- NCSC: het Nationaal Cyber Security Centrum, dat het meldportaal voor incidenten beheert.
- RDI: de Rijksinspectie Digitale Infrastructuur, toezichthouder op delen van de regelgeving.
De CER-richtlijn vergeleken met andere wetten en normen
De CER-richtlijn staat niet op zichzelf. Hieronder de belangrijkste vergelijking, gevolgd door drie kortere raakvlakken.
CER-richtlijn en NIS2
De CER-richtlijn en NIS2 zijn zusterrichtlijnen die samen zijn ontworpen. NIS2 dekt de cyber- en digitale weerbaarheid, de CER-richtlijn de fysieke en operationele weerbaarheid van dezelfde groep vitale organisaties. De koppeling is hard: een kritieke entiteit onder de CER-richtlijn is in Nederland automatisch ook een essentiële entiteit onder de Cyberbeveiligingswet, de implementatie van NIS2 (RDI, 2025). Je krijgt dan met beide regimes te maken: fysieke weerbaarheid via de Wwke, digitale weerbaarheid via de Cyberbeveiligingswet.
CER-richtlijn en DORA
Voor de financiële sector overlapt de CER-richtlijn met DORA, de Europese verordening voor digitale operationele weerbaarheid van financiële instellingen. De CER-richtlijn zondert kritieke entiteiten in het bankwezen en de financiëlemarktinfrastructuur deels uit, omdat DORA en NIS2 die al dekken (EUR-Lex, 2022; Tweede Kamer, 2025).
CER-richtlijn en ISO 27001
De zorgplicht heeft een stevige informatiebeveiligingscomponent: risicobeoordeling, toegangsbeheer, continuïteit en bewijsvoering. ISO 27001 is de internationale norm die precies dat structureert en is daarmee een praktische onderlaag voor de ICT-kant van CER-compliance.
CER-richtlijn en BIO
De CER-richtlijn raakt de overheidssector. Overheidsorganisaties werken voor hun informatiebeveiliging met de BIO, de Baseline Informatiebeveiliging Overheid. De BIO en de digitale kant van de zorgplicht overlappen sterk, omdat beide op ISO 27001 leunen.
Zo helpt ClickOn met CER-compliance
ClickOn richt zich op de ICT- en informatiebeveiligingskant van de CER-richtlijn en op de overlap met de Cyberbeveiligingswet. De fysieke maatregelen uit de zorgplicht, zoals fysieke toegangsbeveiliging en bewaking, vallen daar buiten; daarvoor heb je een fysieke-beveiligingspartner nodig.
Binnen die scope helpt ClickOn met twee diensten:
- Compliance Sprint: in 30 dagen technisch audit-klaar op de ISO 27001-norm, voor een vaste prijs. Week 1 de 0-meting en gap-analyse, week 2 en 3 de inrichting, week 4 het dashboard met live monitoring als bewijs.
- PremiumOn: compliant werkplekbeheer op de ISO 27001-norm voor 148 euro per werkplek per maand, inclusief 24/7 bewaking en support, zonder lock-in.
Wat buiten scope valt, benoemen we eerlijk: fysieke beveiliging, beleids- en governance-advies en de formele audit zelf doet ClickOn niet. Wil je de ICT-kant van je CER-verplichtingen volledig beleggen, dan kun je dat uitbesteden aan ClickOn.