Besluit weerbaarheid kritieke entiteiten.

Bij Kabinetsmissive van 22 mei 2026, no.2026001154, heeft Uwe Majesteit, op voordracht van de Minister van Justitie en Veiligheid, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit houdende regels ter uitvoering van de Wet weerbaarheid kritieke entiteiten (Besluit weerbaarheid kritieke entiteiten), met nota van toelichting.

Samenvatting

Het ontwerpbesluit weerbaarheid kritieke entiteiten (hierna: het ontwerpbesluit) geeft uitvoering aan de nieuwe Wet weerbaarheid kritieke entiteiten (hierna: Wwke), die op haar beurt uitvoering geeft aan een Europese richtlijn ter versterking van de weerbaarheid van zogeheten "kritieke entiteiten". (zie noot 1) Dit zijn overheidsorganisaties en ondernemingen die van cruciaal belang zijn voor vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu. Het ontwerpbesluit verplicht deze kritieke entiteiten om:

-     maatregelen te treffen om incidenten te voorkomen,
-     zich voor te bereiden op incidenten, en
-     incidenten te melden bij de verantwoordelijke minister.

Het ontwerpbesluit loopt gelijk op met het ontwerp-Cyberbeveiligingsbesluit, dat een vergelijkbare regeling bevat voor het tegengaan van cyberdreigingen. (zie noot 2) De Afdeling advisering van de Raad van State brengt over beide ontwerpbesluiten gelijktijdig advies uit.

In het ontwerpbesluit is bepaald dat alle persoonsgegevens die door de verantwoordelijke ministers worden verwerkt tien jaar lang bewaard blijven. De Afdeling merkt op dat het niet gewenst is om alle persoonsgegevens zo’n lange tijd te bewaren. Die lange termijn is alleen nodig voor gegevens die noodzakelijk zijn voor toezichtstrajecten en bestuursrechtelijke procedures.

Verder wordt in het ontwerpbesluit voorgesteld dat de vakminister kan voorschrijven in welke gevallen een kritieke entiteit een incident moet melden. Volgens de toelichting hoeven die regels niet openbaar te worden gemaakt. De Afdeling begrijpt het belang hiervan met het oog op de veiligheid. De vraag is echter hoe verzekerd kan worden dat de regels vertrouwelijk worden behandeld binnen de kritieke entiteit.

Tot slot adviseert de Afdeling in de toelichting aandacht te besteden aan de nafase nadat een aanzienlijke verstoring heeft plaatsgevonden bij een kritieke entiteit.

In verband met deze opmerkingen is aanpassing wenselijk van het ontwerpbesluit en de toelichting.

1. De termijn voor het bewaren van persoonsgegevens

In het ontwerpbesluit worden verschillende onderdelen uit de Wwke nader ingevuld. Zo worden onder meer eisen gesteld aan de risicobeoordeling die de kritieke entiteit moet verrichten. Ook wordt voorgeschreven welke maatregelen de kritieke entiteit ten minste moet nemen om aan de zorgplicht te voldoen. Daarnaast worden termijnen gesteld voor het bewaren van persoonsgegevens.

Persoonsgegevens die door de verantwoordelijke ministers worden verwerkt met het oog op het toezicht op de naleving, hebben volgens het Ontwerpbesluit een uiterste bewaartermijn van 120 maanden. (zie noot 3) Uit de toelichting blijkt dat voor deze termijn is gekozen vanwege langlopende toezichtstrajecten en bijhorende bestuursrechtelijke procedures, waarvan niet uitgesloten is dat deze een kortere bewaartermijn zullen overschrijden. (zie noot 4)

De Afdeling merkt op dat niet aannemelijk is gemaakt dat alle gegevens die hierdoor maximaal 10 jaar kunnen worden bewaard ook daadwerkelijk nodig zijn voor toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures. De meeste gegevens die in bredere zin met het oog op het toezicht op de naleving bewaard worden zijn geen historische gegevens, maar actuele gegevens waarmee toezichthoudende ambtenaren elkaar moeten kunnen bereiken, zoals e-mailadressen en telefoonnummers. (zie noot 5) Voor deze categorie gegevens is het niet nodig om een bewaartermijn van maximaal 10 jaar mogelijk te maken. Deze mogelijkheid  kan daarom in lijn met de toelichting worden beperkt tot de beperktere categorie van gegevens voor zover noodzakelijk voor toezichts- en bestuursrechtelijke procedures. (zie noot 6)

De Afdeling adviseert om de maximale termijn van 10 jaar te beperken tot alleen gegevens die noodzakelijk zijn voor toezichtstrajecten en daarmee samenhangende bestuursrechtelijke procedures.

2. Bindende criteria die niet openbaar worden gemaakt

Een centraal begrip in de Wwke is "aanzienlijke verstoringen". Een kritieke entiteit moet incidenten die de dienstverlening aanzienlijk verstoren melden bij de verantwoordelijke minister. (zie noot 7) Bij of krachtens algemene maatregel van bestuur worden de criteria vastgesteld om te bepalen of een verstoring "aanzienlijk" is. (zie noot 8)

Het ontwerpbesluit werkt deze criteria verder uit. De vakminister kan (na overleg met de minister van J&V) de criteria vaststellen bij ministeriële regeling. Voor specifieke entiteiten kan hij die criteria daarnaast vaststellen bij besluit. (zie noot 9) Dit laatste biedt de mogelijkheid om criteria vast te stellen die niet geopenbaard hoeven te worden wanneer dit voor specifieke entiteiten en voor de nationale veiligheid onaanvaardbare risico’s met zich kan meebrengen, zo stelt de toelichting. (zie noot 10)

Deze keuze van de regering is begrijpelijk. Algemeen verbindende voorschriften kunnen niet in werking treden als ze niet bekend, en daarmee openbaar, zijn gemaakt. (zie noot 11) Besluiten kunnen worden bekendgemaakt door toezending of uitreiking aan belanghebbenden. (zie noot 12) Verdere verspreiding van zulke besluiten is geen voorwaarde voor inwerkingtreding. De entiteit kan de criteria, opgenomen in het besluit, dus vertrouwelijk behandelen.

Dit roept wel de vraag op hoe verzekerd is dat de entiteit en haar medewerkers het besluit inderdaad vertrouwelijk behandelen. Sommige entiteiten zijn bestuursorganen; voor hen geldt de algemene verplichting om gegevens die een vertrouwelijk karakter hebben geheim te houden. (zie noot 13) Andere entiteiten vallen niet onder de overheid en dus ook niet onder de algemene geheimhoudingsplicht.

De Afdeling adviseert in de toelichting in te gaan op de vraag hoe verzekerd is dat de hier bedoelde besluiten vertrouwelijk worden behandeld.

3. Fase na de aanzienlijke verstoring

In de wet en het ontwerpbesluit is geregeld dat de kritieke entiteit maatregelen moet nemen om een aanzienlijke verstoring te voorkomen, waaronder het opstellen van een risicobeoordeling. De toelichting gaat echter niet in op wat verwacht wordt van een kritieke entiteit in de fase na een aanzienlijke verstoring heeft plaatsgevonden. Hierbij kan gedacht worden aan het wettelijk verplichte evalueren van de risicobeoordeling en de maatregelen die voortvloeien uit de zorgplicht. (zie noot 14) Maar ook aan niet-verplichte stappen die een kritieke entiteit kan nemen in de fase nadat een aanzienlijke verstoring is afgesloten, zoals het bieden van nazorg aan personeel, klanten en aanvullende trainingen. (zie noot 15)

De Afdeling adviseert in de toelichting aandacht te besteden aan de nafase nadat een aanzienlijke verstoring heeft plaatsgevonden bij een kritieke entiteit.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het ontwerpbesluit en adviseert daarmee rekening te houden voordat een besluit wordt genomen.

De vice-president van de Raad van State

Voetnoten

(1) Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PbEU 2022, L 333).
(2) Zaak W 16.26.00143/II.
(3) Artikel 18, tweede lid, Bwke. In afwijking van de uiterste termijn van vijf jaar ingevolge het eerste lid.
(4) Toelichting, paragraaf 4.2 (Advies AP).
(5) Toelichting op artikel 18, vierde tekstblok.
(6) Zo’n uitzondering komt vaker voor in wetgeving, bijvoorbeeld artikel 1.8, zevende lid, van de Wet gegevensverwerking door samenwerkingsverbanden.
(7) Artikel 17, eerste tot en met derde lid, Wwke.
(8) Artikel 17, vijfde lid, Wwke.
(9) Artikel 15, tweede lid, Bwke.
(10) Toelichting op artikel 15, tweede tekstblok.
(11) Artikelen 88 en 89 van de Grondwet; artikel 8 van de Bekendmakingswet.
(12) Artikel 3:41, eerste ld, van de Algemene wet bestuursrecht.
(13) Artikel 2:5 van de Algemene wet bestuursrecht. Tegen deze verplichting kan overigens niet handhavend worden opgetreden.
(14) Artikel 3, vierde lid, en artikel 13 Bwke.
(15) Zie bijvoorbeeld ook de thema’s uit de Themalijst Nafase en herstel uit het Nationaal Handboek Crisisbeheersing van het Ministerie van Justitie en Veiligheid.