Woordenlijst · Kritieke EU-infrastructuur CER-richtlijn (Critical Entities Resilience Directive (Richtlijn EU 2022/2557) — Richtlijn weerbaarheid van kritieke entiteiten)
EU-richtlijn die geharmoniseerde regels vaststelt om de weerbaarheid te versterken van entiteiten die essentiële diensten leveren in 11 kritieke sectoren. Zusterregelgeving van NIS2 — waar NIS2 cyberbeveiliging adresseert, behandelt de CER-richtlijn bredere fysieke, hybride en operationele weerbaarheid. In werking sinds januari 2023, omzetting door lidstaten tegen oktober 2024.
## Wat de CER-richtlijn eigenlijk is
De Critical Entities Resilience-richtlijn (CER, Richtlijn EU 2022/2557) is het EU-raamwerk voor het versterken van de weerbaarheid van entiteiten die essentiële diensten leveren in kritieke sectoren. Aangenomen eind 2022 en van kracht sinds januari 2023, met omzetting door lidstaten vereist tegen oktober 2024, functioneert het als de **niet-cyber zusterregelgeving van NIS2**.
Waar [NIS2](/nl/glossary/nis2/) cyberbeveiliging voor essentiële en belangrijke entiteiten behandelt, adresseert de CER-richtlijn het bredere weerbaarheidsplaatje — fysieke beveiliging, hybride dreigingen, operationele continuïteit, toeleveringsketenafhankelijkheden en herstelvermogen voor dezelfde algemene entiteitenpopulatie.
## Welke sectoren vallen eronder
De CER-richtlijn identificeert 11 kritieke sectoren:
| Sector | Voorbeelden |
|--------|----------|
| **Energie** | Elektriciteit, olie, gas, stadsverwarming, waterstof |
| **Vervoer** | Lucht, spoor, water, weg |
| **Bankwezen** | Kredietinstellingen |
| **Infrastructuur financiële markten** | Handelsplatformen, centrale tegenpartijen |
| **Gezondheid** | Zorgaanbieders, EU-referentielaboratoria |
| **Drinkwater** | Leveranciers en distributeurs |
| **Afvalwater** | Behandelingsinfrastructuur |
| **Digitale infrastructuur** | IXP's, DNS, TLD-registers, cloudaanbieders, datacenters |
| **Openbaar bestuur** | Centrale overheden van lidstaten |
| **Ruimte** | Grondgebonden infrastructuur ter ondersteuning van ruimtediensten |
| **Voedsel** | Grootschalige productie, verwerking, distributie |
De lijst overlapt aanzienlijk met NIS2 — opzettelijk, aangezien dezelfde entiteiten doorgaans zowel cyberbeveiligings- als bredere weerbaarheidsvermogens nodig hebben.
## Wat de richtlijn vereist
De CER-richtlijn legt verplichtingen op over meerdere lagen.
### Verplichtingen voor lidstaten
Elke lidstaat moet:
- **Kritieke entiteiten identificeren** in elk van de 11 sectoren op basis van Commissiecriteria
- **Nationale risicobeoordelingen uitvoeren** die alle-risico-blootstelling adresseren
- **Nationale weerbaarheidsstrategieën aannemen** die sectoroverstijgende afhankelijkheden adresseren
- **Een bevoegde autoriteit aanwijzen** voor handhaving van de CER-richtlijn
- **Grensoverschrijdend samenwerken** via de Critical Entities Resilience Group
### Verplichtingen van kritieke entiteiten
Geïdentificeerde kritieke entiteiten moeten:
- **Risicobeoordelingen uitvoeren** rekening houdend met alle gevaren (fysiek, hybride, toeleveringsketen, operationeel)
- **Weerbaarheidsmaatregelen implementeren** proportioneel aan de geïdentificeerde risico's, waaronder fysieke beveiliging, bedrijfscontinuïteit, incidentrespons, risicobeheer toeleveringsketen
- **Incidenten melden** die essentiële diensten verstoren bij bevoegde autoriteiten
- **Achtergrondcontroles uitvoeren** voor personeel met gevoelige functies
- **Onderworpen zijn aan nalevingsverificatie** door bevoegde autoriteiten
### Grensoverschrijdende identificatie
Lidstaten moeten de identificatie van kritieke entiteiten die diensten leveren in meerdere lidstaten coördineren. De Commissie kan adviezen uitbrengen over de consistentie van grensoverschrijdende identificatie.
## CER-richtlijn vs NIS2
De twee richtlijnen zijn nauw gecoördineerd en veel entiteiten vallen onder beide:
| Aspect | CER-richtlijn | NIS2 |
|--------|---------------|------|
| Onderwerp | Alle-risico-weerbaarheid | Cyberbeveiliging |
| Sectoren | 11 kritieke | 18+ (essentieel + belangrijk) |
| Entiteitsgranulariteit | Individuele kritieke entiteiten | Sectorbreed |
| Fysieke beveiliging | Kern | Buiten reikwijdte |
| Hybride dreigingen | ✅ | Beperkt |
| Toeleveringsketenrisico | ✅ | ✅ |
| Meldingsdrempel | Significant incident | Significant incident |
| Sancties | Implementatie door lidstaten | Tot € 10 mln / 2% omzet |
| In werking | Januari 2023, omzetting oktober 2024 | Januari 2023, omzetting oktober 2024 |
De richtlijnen delen afgestemde timing, complementaire reikwijdte en gecoördineerde implementatie. Verschillende lidstaten hebben enkelvoudige bevoegde autoriteiten gecreëerd die zowel CER- als NIS2-naleving afhandelen.
## Waarom de CER-richtlijn ertoe doet
### 1. Post-COVID-weerbaarheidslessen geïnstitutionaliseerd
De CER-richtlijn ontstond uit expliciete erkenning dat de weerbaarheid van EU-kritieke infrastructuur onvoldoende was geweest in het licht van COVID-19, verstoringen van de energiemarkt en geopolitieke instabiliteit. De richtlijn institutionaliseert de lessen die uit deze schokken zijn geleerd.
### 2. Hybride dreigingen erkend
De richtlijn behandelt expliciet "hybride dreigingen" — combinaties van cyberaanvallen, desinformatie, fysieke sabotage en verstoring van de toeleveringsketen die statelijke en niet-statelijke actoren in toenemende mate inzetten tegen Europese kritieke infrastructuur. Dit is wezenlijk anders dan puur cybergerichte raamwerken.
### 3. Grensoverschrijdende coördinatie geoperationaliseerd
Europese kritieke infrastructuur opereert steeds vaker over de grenzen van lidstaten heen. Energie-interconnectoren, vervoersnetwerken en infrastructuur voor financiële markten overschrijden allemaal nationale jurisdicties. De grensoverschrijdende coördinatiebepalingen van de CER-richtlijn adresseren dit structureel.
### 4. Weerbaarheidslaag voor toeleveringsketen
Kritieke entiteiten moeten expliciet toeleveringsketenrisico adresseren — ook voor technologieleveranciers. Dit raakt EU-inkoop van clouddiensten, softwareplatforms en digitale infrastructuur waar verstoring van de toeleveringsketen essentiële diensten kan beïnvloeden.
### 5. Digitale infrastructuur als kritiek
De CER-richtlijn wijst digitale infrastructuur (IXP's, DNS, cloudaanbieders, datacenters) expliciet aan als kritieke sector. Dit formaliseert wat al operationeel waar was en creëert directe regelgevende verplichtingen voor Europese cloud- en infrastructuuraanbieders.
## Hoe de CER-richtlijn techinkoop beïnvloedt
### Voor Europese cloudaanbieders en datacenters
CER-geïdentificeerde kritieke entiteiten (in digitale infrastructuur of andere sectoren) moeten toeleveringsketenrisico voor technologiediensten adresseren. Dit drijft inkoopvoorkeuren naar aanbieders met sterke weerbaarheidsdocumentatie, EU-jurisdictie en aantoonbaar continuïteitsvermogen.
Europese cloudaanbieders (Infomaniak, OVHcloud, Scaleway, andere) die hebben geïnvesteerd in weerbaarheidsdocumentatie zijn gepositioneerd als voorkeursleveranciers. Amerikaanse hyperscalers staan voor structurele nalevingscomplexiteit bij het bedienen van CER-geïdentificeerde entiteiten.
### Voor SaaS-leveranciers die verkopen aan kritieke entiteiten
Als je SaaS-product de operaties ondersteunt van CER-geïdentificeerde kritieke entiteiten — ziekenhuizen, banken, energiebedrijven, vervoersexploitanten — hebben je leveranciersrelaties nu directe regelgevende implicaties onder het CER-raamwerk.
### Voor Europese techinkoopteams
CER-nalevingsoverwegingen worden geïntegreerd in inkoopprocessen naast NIS2-, DORA- en AI Act-naleving. Het gecombineerde regelgevingskader creëert een coherente inkoopevaluatiematrix die de voorkeur geeft aan aanbieders met aantoonbare EU-jurisdictie, weerbaarheidsvermogen en transparantie in de toeleveringsketen.
### Voor incidentresponsplanning
De CER-meldingsvereisten voor incidenten interageren met NIS2, DORA, AVG en sectorale vereisten. Kritieke entiteiten onderhouden steeds vaker gecoördineerde incidentresponsdraaiboeken die alle relevante regelgevende meldingstijdlijnen adresseren.
## CER en digitale soevereiniteit
De CER-richtlijn operationaliseert een structurele soevereiniteitsdimensie die puur cyberbeveiligingsraamwerken niet adresseren:
- **Fysieke beveiliging van digitale infrastructuur** — datacenters, IXP's, onderzeese kabels
- **Toeleveringsketenafhankelijkheden** — halfgeleiders, hardware, traceerbaarheid van materialen
- **Grensoverschrijdende continuïteit** — diensten die meerdere lidstaten overspannen
- **Hybride-dreigingsparaatheid** — desinformatie, sabotage, gecoördineerde verstoring
Deze dimensies interageren met de bredere EU-soevereiniteitsagenda — door NIS2-cyberbeveiliging, CRMA-materialensoevereiniteit en Strategisch Kompas-defensiepositionering te verbinden tot een coherente houding.
## Implementatiestatus (2026)
- **Richtlijn van kracht** sinds januari 2023
- **Omzettingsdeadline voor lidstaten** was oktober 2024 — de meeste lidstaten hebben omgezet; sommige ronden de implementatie nog af
- **Identificatie van kritieke entiteiten** loopt — lidstaten identificeren entiteiten op basis van risicogebaseerde criteria
- **Eerste incidentmeldingen** stromen door bevoegde autoriteiten
- **Critical Entities Resilience Group** operationeel met regelmatige coördinatie tussen lidstaten
- **Adviezen van de Commissie over grensoverschrijdende identificatie** beginnen te worden uitgevaardigd
## Praktische implicaties
- **Voor exploitanten in kritieke sectoren**: identificeer je CER-status en bereid je voor op nalevingsverplichtingen
- **Voor technologieleveranciers**: openbaarmaking van de toeleveringsketen en weerbaarheidsdocumentatie worden steeds inkooprelevanter
- **Voor Europese cloudaanbieders**: structurele kans dankzij inkoopvoorkeuren voor weerbaarheid onder EU-jurisdictie
- **Voor in de VS gevestigde aanbieders**: structurele nalevingscomplexiteit bij het bedienen van CER-geïdentificeerde entiteiten
- **Voor beleids- en nalevingsteams**: integreer het CER-raamwerk naast NIS2 in gecoördineerd nalevingswerk
De CER-richtlijn is de operationeel meest significante niet-cyber regelgeving voor kritieke infrastructuur van de EU in de jaren 2020. Gecombineerd met NIS2 creëert het het coherente weerbaarheidsraamwerk dat Europese kritieke infrastructuur operationeel nodig heeft gezien de post-COVID- en post-Oekraïne geopolitieke context.
Was dit nuttig?
Bedankt voor je feedback!