Ga direct naar de inhoud
Analysis:
Analysis

Wet weerbaarheid kritieke entiteiten (Wwke)

Wat betekent de Wwke voor jouw organisatie?

De Europese Critical Entities Resilience (CER) richtlijn en de Nederlandse Wet weerbaarheid kritieke entiteiten (Wwke) zijn geïntroduceerd als reactie op de toenemende dreiging op de kritieke infrastructuur. Deze wetten stellen vanaf Q2 2026 concrete eisen aan organisaties die essentiële diensten leveren aan de kritieke infrastructuur - met als doel om de weerbaarheid binnen Europa te versterken. Denk aan het inregelen van je continuïteit, fysieke beveiliging en het doen van risicobeoordelingen en incidentmelding.

Ben of word jij een kritieke entiteit? Start dan tijdig met het doen van een Readiness Assessment, niet alleen om te bepalen waar je staat en aan de wet te voldoen, maar ook omdat het een strategisch voordeel oplevert: betere operationele efficiëntie, meer robuustheid tegen incidenten en groter vertrouwen bij klanten en toezichthouders.

Download: CER/Wwke Readiness Assesment
Download PDF (283KB) Bekijk PDF

Tijdlijn


De Wwke is de nationale implementatie in Nederland van de Europese Critical Entities Resilience (CER) -richtlijn. Implementatie in nationale wetgeving vindt in fases plaats. In Nederland wordt verwacht dat Wwke‑vereisten in werking treden rond Q2 2026. Lidstaten en toezichthouders publiceren stapsgewijs uitvoeringsregels en aanwijzingscriteria. Tijdig starten is daarom cruciaal.

Achtergrond

De CER is een Europese richtlijn gericht op versterking van fysieke, digitale en economische weerbaarheid van de kritieke infrastructuur tegen (natuur)rampen, sabotage en andere verstoringen. Voorbeelden hiervan zijn cyberaanvallen, overstromingen en technische storingen. De Wwke is de Nederlandse implementatie van de CER. De wet verplicht (toekomstige) organisaties die essentiële diensten leveren, ook wel kritieke entiteiten genoemd, tot onder meer risicobeoordelingen, snelle incidentmelding en maatregelen voor herstel en bescherming. Op deze manier verplicht deze wetgeving verschillende sectoren om weerbaar te worden tegen verstoringen van buitenaf. 

Binnen de scope van deze wet behoren organisaties waarvan het uitvallen van diensten aanzienlijke maatschappelijke gevolgen hebben: denk aan energie, drinkwatervoorziening, ziekenhuizen, transport, financiële infrastructuur en digitale kerninfrastructuur. De formele aanwijzing van kritieke entiteiten gebeurt door het betreffende ministerie per sector. Soms raken ook ketenpartners of grote leveranciers in scope omdat hun uitval domino‑effecten heeft.

NIS2 concentreert zich vooral op digitale/ICT‑weerbaarheid, terwijl Wwke breder kijkt naar fysieke en operationele continuïteit. Veel maatregelen versterken elkaar: goede ICT‑beveiliging helpt bedrijfscontinuïteit, en omgekeerd. DORA wetgeving is alleen van toepassing voor financiële instellingen, en daarom zijn ook deze instellingen op veel vlakken uitgesloten voor delen van de Wwke.  Organisaties die al aan NIS2 of DORA werken, kunnen vaak onderdelen hergebruiken voor Wwke‑compliance.

Vereisten

  • Integrale risicobeoordelingen die zowel natuurlijke als door mensen veroorzaakte risico’s (inclusief klimaat‑ en rampenrisico’s) meenemen.
  • Een meldstructuur voor incidenten die de levering van essentiële diensten aanzienlijk verstoort. Kritieke entiteiten moeten binnen 24 uur een eerste melding doen bij de bevoegde autoriteit, tenzij de kritieke entiteit hier operationeel niet toe in staat is.
  • Concrete bedrijfscontinuïteits‑ en herstelmaatregelen (BCM): plannen, alternatieve leveranciers, recovery‑scenario’s en herstelprocedures.
  • Adequate fysieke beveiliging en personeelsbeveiliging, inclusief maatregelen rond toegang, detectie en waar nodig achtergrondchecks.
  • Incident‑, crisis‑ en communicatieprotocollen en regelmatige oefeningen en trainingen.

Voorbeelden zijn: Planvorming op het gebied van continuïteit, crisis management en fysieke beveiliging, waaronder recovery plannen en (alternatieve) werkwijzen,  identificatie van ‘Te Beschermen Belangen’ (TBB), en (tabletop-)oefeningen, en communicatie in de vorm van duidelijke meldroutes richting toezichthouder en interne stakeholders.

Niet voldoen kan leiden tot operationele uitval en hogere herstelkosten, schade aan reputatie en vertrouwen van klanten en partners, en mogelijk sanctionering, bijvoorbeeld middels een financiële boete onder de Wwke die kan oplopen tot max €10 miljoen en/of tot 2% van de wereldwijde jaaromzet.  

Voorbereiding

Begin met een overzichtelijke aanpak: breng kritieke processen in kaart (welke diensten zijn essentieel voor de levering van de kritieke diensten?), voer een Business Impact Analysis (BIA) uit, risicobeoordelingen en test meld- en responsroutes van een organisatie met eenvoudige oefeningen. 


Doe op basis van de scope van kritieke diensten en afhankelijkheden vanuit de BIA, een onderzoek naar de aanwezigheid, doelmatigheid en effectiviteit van bestaande maatregelen. Stel vast of dit afdoende is en er meer of diepgaandere maatregelen moeten worden genomen.

Een Readiness Assessment geeft inzicht in de huidige staat van maatregelen, die gelinkt zijn aan de CER/Wwke, binnen een organisatie. Op basis van de huidige staat en de vereisten vanuit de CER/Wwke worden aanbevelingen gedaan om de gereedheid te verhogen.

Risicobeoordeling (inclusief klimaat en rampen), meldstructuur en governance, awareness en training, bedrijfscontinuteit, inclusief herstelcapaciteiten (RTO/RPO en alternatieve locaties), fysieke beveiliging en incident- en crisismanagement.

Wat wij concreet aanbieden

Een Readiness Assessment waarmee we in korte tijd meten waar uw organisatie staat ten opzichte van Wwke-vereisten. Een organisatie ontvangt een gapanalyse,  beoordelingsscores per domein en een stappenplan overzicht van de belangrijkste verbetermaatregelen en aanbevelingen.

Een interactief Wwke-realisatielab dat bijdraagt aan bewustwording en concretisering van de implicaties van de wetgeving. Hierin definiëren we samen met stakeholders uitvoerbare stappen en verbetermaatregelen die geïmplementeerd moeten worden om aan de wetgeving te voldoen. 

Van het opzetten van BCM  governance en herstelcapaciteiten tot fysieke beveiligingsmaatregelen, meldprocedures en tabletop oefeningen, we helpen implementeren en trainen waar nodig.

We ondersteunen bij het inbedden van maatregelen in beleid en routines (governance, rollen & verantwoordelijkheden, monitoring) zodat weerbaarheid geen project is maar onderdeel van de dagelijkse operatie.

Praktische ondersteuning met behulp van templates, playbooks en testscenario’s.

Voordelen van implementatie

Betere voorbereiding verkort uitvaltijden en beperkt financiële en maatschappelijke schade bij incidenten.

Heldere processen, verantwoordelijkheden en noodplannen verminderen verstoringen en verhogen de operationele efficiëntie.

Aantoonbare weerbaarheid vergroot het vertrouwen van klanten, toezichthouders en het publiek en ondersteunt reputatiebeheer.

Beter risicomanagement kan leiden tot minder herstelkosten en een gunstiger business case voor investeringen in resilience.

Door redundantie, alternatieve leveranciers en robuuste herstelcapaciteiten vermindert de afhankelijkheid van andere kritieke entiteiten en kwetsbare schakels in de waardeketen.

Organisaties die proactief in weerbaarheid investeren, zijn meer concurrerend doordat ze wendbaarder zijn en sneller op onvoorspelbare situaties kunnen inspelen.

Met gedocumenteerde maatregelen ben je beter voorbereid op toezicht en kunt je naleving en voortgang aantoonbaar maken.

Readiness Assessment 

De Readiness Assesment is een praktische leidraad met een voorbeeld‑gapanalyse snel te bepalen waar uw organisatie staat en welke stappen nodig zijn om Wwke‑ready te worden. Wil je direct weten waar uw organisatie staat? Download de Readiness Assessment en neem bij verdere vragen of interesse contact op met Danny Tinga, Reinder Ubbens of Jurgen Schot

Download the Readiness Assesment

Did you find this useful?

Yes
No

Thanks for your feedback

Uw feedback is belangrijk voor ons

Om ons te laten weten wat u ervan vindt, moet u analyse- en prestatiecookies accepteren.

Hulp nodig bij het updaten van cookies?

Neem contact op

Danny Tinga

Danny Tinga

Partner | Resilience, Crisis & Reputation
+3188 288 7951
Reinder Ubbens

Reinder Ubbens

Director
+31612312567

Onze visie

Whole-of-society

Ontdek hoe Nederland zich kan wapenen tegen toenemende geopolitieke spanningen en cyberdreigingen door middel van publiek-private samenwerking. Onze open economie vraagt om een gezamenlijke aanpak van overheden, bedrijven en burgers. Leer meer over hoe strategische autonomie en concrete stappen naar weerbaarheid ons land veiliger maken.
Sector

Drie minuten over veerkracht en vertrouwen

In een drie minuten durende podcastserie over veerkracht en vertrouwen delen experts van Deloitte Risk Advisory belangrijke inzichten om kennis op te doen over hoe je een weg vooruit kunt inslaan en je organisatie kunt versterken.
Perspective

Trust in supply chains

Onderzoek toont aan dat leidinggevenden het vertrouwen van klanten in de bedrijfsvoering van hun organisatie kunnen overschatten. Wilt u weten hoe ze die kloof kunnen dichten om betrouwbaardere toeleveringsketens op te bouwen en hoe u de financiële prestaties kunt verbeteren? Lees het artikel hier.
Research

Crisismanagement | Deloitte

Versterk uw organisatie met onze crisismanagementdiensten, gericht op strategisch en reputatierisico en incidentmanagement. Onze risk advisory biedt AI-gedreven diensten om crises effectief te navigeren en te mitigeren.
Service