Juridische verantwoordelijkheden voor fysieke en cyberveiligheid
De kwetsbaarheid voor (cyber)dreigingen neemt toe door de groeiende digitalisering van stedelijke infrastructuren en geopolitieke veranderingen. Mede daarom zijn er nieuwe en aangescherpte nationale en Europese wetten. Gemeenten en waterschappen kunnen hieraan voldoen door zich te houden aan de basisnorm Baseline Informatiebeveiliging Overheid (BIO2, zie onderaan).
Vanaf 2026 treden de Wet weerbaarheid kritieke entiteiten (Wwke) en de Cyberbeveiligingswet (Cbw) in werking. Dit zijn nationale implementaties van respectievelijk de Critical Entities Resilience Directive (CER) en de Europese Network and Information Security Directive (NIS2). Beide Europese richtlijnen traden in 2024 in werking om de fysieke en cyberweerbaarheid van essentiële sectoren, waaronder stedelijk afvalwaterbeheer, te verbeteren.
Nederland werkt nog aan de omzetting van de Europese richtlijnen in nationale wetgeving, en naar verwachting zullen medio 2026 de Wwke en Cbw formeel in werking treden, evenals de onderliggende Algemene Maatregelen van Bestuur en ministeriële besluiten. Het is – ook zonder de definitieve details van de wetten te kennen – van belang én mogelijk om voorbereidingen tot het naleven van de richtlijnen te treffen.
Doelen
De wetten hebben als doel het verhogen van de veiligheid en weerbaarheid binnen vitale en essentiële sectoren door:
- Verplichte risicoanalyses (wat kan misgaan bij welke objecten met welke effecten?)
- Strengere beveiligingsvereisten (maatregelen moeten om risico’s te mitigeren)
- Meldplichten bij incidenten
- Toezicht door de rijksoverheid en sancties bij niet-naleving
Verplicht voor overheden en bedrijven
Vanwege het belang van de sector afvalwater voor de volksgezondheid, veiligheid en economie worden de richtlijnen ook van toepassing verklaard voor het stedelijk waterbeheer. Onder de CER is de sector afvalwater als kritiek erkend. Gemeenten zijn, net als andere overheidsinstanties, onder de Cyberbeveiligingswet essentieel verklaard. Dit betekent dat digitale én fysieke veiligheid een wettelijke verplichting is geworden, zonder vrijblijvendheid.
Ook leveranciers van gemeenten moeten verplicht aan strengere eisen voldoen. De EU Verordening Cyberweerbaarheid (Cyber Resilience Act) geeft voorschriften voor het ontwerp, de ontwikkeling, de productie en het op de markt aanbieden van hardware en software én het verplicht bieden van ondersteuning en veiligheid tijdens de gebruiksfase. De verordening geldt voor alle apparaten die direct of indirect verbonden zijn met een ander apparaat of een netwerk. CE-markering wordt verplicht.
In dit deel van onze website en ook in de Kennisbank Stedelijk Water biedt Stichting RIONED informatie, instructies en hulpmiddelen om de fysieke en cyberveiligheid te vergroten
.