NIS2 en CER: cyber én fysieke weerbaarheid — wat moet uw kritieke organisatie écht doen?

"We zijn bezig met NIS2 — vallen we dan ook automatisch onder de CER-wet?"

Het korte antwoord: soms wel, soms niet — en de eisen zijn niet hetzelfde. NIS2 (in Nederland: de Cyberbeveiligingswet) en CER (in Nederland: de Wet weerbaarheid kritieke entiteiten, Wwke) zijn twee Europese richtlijnen die op dezelfde dag, 1 juli 2026, in werking treden. Ze zijn complementair: NIS2 gaat over cyberweerbaarheid, CER gaat over fysieke en hybride weerbaarheid — terrorisme, sabotage, natuurrampen, insider-dreigingen.

Veel Essentiële Entiteiten onder NIS2 worden óók aangewezen als kritieke entiteit onder Wwke. In dit artikel zetten we de overlap én de gaten op een rij, en geven we een gecombineerd stappenplan zodat u niet twee keer hetzelfde werk doet.

Niet zeker of u onder NIS2 valt? Doe eerst de gratis check — in 2 minuten. CER-aanwijzing volgt apart vanuit de overheid; daarover later meer in dit artikel.

NIS2 en CER in één zin

• NIS2 (EU 2022/2555 → Cyberbeveiligingswet): verplicht entiteiten in 18 sectoren tot een cyberweerbaarheidsregime met 10 zorgplichtmaatregelen, een 24/72-uurs meldplicht en registratie bij de toezichthouder. U valt eronder op basis van sector + omvang (self-applying).
• CER (EU 2022/2557 → Wet weerbaarheid kritieke entiteiten / Wwke): verplicht aangewezen kritieke entiteiten in 11 sectoren tot een all-hazards weerbaarheidsregime — risicobeoordeling, weerbaarheidsplan, achtergrondscreening van sleutelpersoneel en incidentmelding. U valt eronder na individuele aanwijzing door de Nederlandse overheid.

Het verschil in scope-mechanisme is essentieel: NIS2 geldt automatisch als u aan de criteria voldoet. CER geldt pas na een formele aanwijzing — die de overheid uiterlijk 17 juli 2026 moet hebben gedaan voor de eerste tranche aangewezen entiteiten.

Snelle vergelijking

Onderdeel	NIS2 / Cyberbeveiligingswet	CER / Wet weerbaarheid kritieke entiteiten
Soort dreigingen	Cyber (digitaal)	All-hazards: fysiek, hybride, natuur, insider
Sectoren	18 (Annex I + Annex II)	11 (subset van NIS2-sectoren)
Hoe val ik eronder?	Automatisch op basis van sector + omvang	Individuele aanwijzing door overheid
Kernverplichtingen	10 zorgplichtmaatregelen	Risicobeoordeling + weerbaarheidsplan + screening
Meldplicht	24u initieel / 72u uitgebreid (cyber)	"Zonder onnodige vertraging" (alle verstoringen)
Bestuurlijke aansprakelijkheid	Ja	Ja
Toezicht in NL	RDI + sectorale toezichthouders	NCTV-coördinatie + sectorale autoriteiten
Inwerkingtreding NL	1 juli 2026	1 juli 2026

CER-sectoren — vallen wij hieronder?

De Wwke geldt voor 11 sectoren. Deze zijn een subset van NIS2 Annex I, plus voedsel (dat in NIS2 onder Annex II valt):

1. Energie (elektriciteit, stadsverwarming, olie, gas, waterstof)
2. Transport (lucht, rail, water, weg, openbaar vervoer)
3. Bankwezen
4. Infrastructuur financiële markten
5. Gezondheidszorg
6. Drinkwater
7. Afvalwater
8. Digitale infrastructuur
9. Openbaar bestuur
10. Ruimtevaart
11. Productie, verwerking en distributie van levensmiddelen

Belangrijk: een organisatie in deze sectoren is niet automatisch een kritieke entiteit. De overheid wijst aan op basis van:

• Maatschappelijke essentiële functie die de organisatie levert
• Afhankelijkheid van andere sectoren of grensoverschrijdende diensten
• Impact als de dienstverlening uitvalt — voor de samenleving, economie of veiligheid

In de praktijk: denk aan netbeheerders, drinkwaterbedrijven, grote ziekenhuizen, luchthavens, havens, kerntelecomaanbieders. Niet elk middelgroot bedrijf in een CER-sector wordt aangewezen.

De overlap: waar versterken NIS2 en CER elkaar?

Op vijf vlakken vragen NIS2 en CER vergelijkbare bouwstenen — daar kunt u één compliance-programma neerzetten:

1. Risicobeheer (maar met andere reikwijdte)

• NIS2 zorgplicht-maatregel 1: beleid voor risicobeheer informatie- en netwerksystemen
• CER artikel 11: risicobeoordeling van alle relevante dreigingen voor essentiële diensten

In de praktijk: één geïntegreerd risicobeoordelingsproces dat zowel cyber- als fysieke dreigingen meeneemt. Veel organisaties gebruiken ISO 27005 als raamwerk en breiden uit met fysieke risico's (BCM-stijl).

2. Bedrijfscontinuïteit en herstel

• NIS2 maatregel 3: bedrijfscontinuïteit, back-up management en crisisbeheer
• CER artikel 13: maatregelen om de continuïteit van essentiële diensten te waarborgen

Eén Business Continuity Management (BCM) systeem — gebaseerd op bijvoorbeeld ISO 22301 — voldoet aan beide. Verschil: NIS2 focust op herstel ná een cyberincident; CER vraagt ook scenario's voor fysieke verstoringen en hybride aanvallen.

3. Incidentafhandeling en meldplicht

• NIS2 maatregel 2: incidentafhandeling
• CER artikel 15: melding van incidenten die essentiële diensten significant verstoren

Eén incident-response-organisatie kan beide afdekken, maar let op de aparte meldkanalen: NIS2-cyberincidenten gaan naar RDI of sector-CSIRT; CER-incidenten gaan naar de bevoegde sectorale autoriteit en uiteindelijk NCTV-coördinatie.

4. Bestuurlijke aansprakelijkheid

Beide wetten leggen de eindverantwoordelijkheid bij de directie:

• NIS2: bestuur is verantwoordelijk voor goedkeuring en toezicht op het cyberbeveiligingsbeleid; bestuurders kunnen persoonlijk aansprakelijk gesteld worden bij ernstige nalatigheid
• CER: het hoogste leidinggevende orgaan moet kennisnemen van de risicobeoordeling en het weerbaarheidsplan, en draagt de eindverantwoordelijkheid

Eén directie-trainingsprogramma en één set bestuurlijke besluiten kan beide afdekken.

5. Toeleveringsketen

• NIS2 maatregel 4: beveiliging van de toeleveringsketen
• CER artikel 11: risicobeoordeling moet afhankelijkheden van andere sectoren en leveranciers meenemen

In de praktijk: één leveranciersregister met zowel cyber- als fysieke risico-scoring per leverancier.

De gaten: waar vraagt CER méér dan NIS2?

Op vier punten gaat CER verder dan of anders dan NIS2 — hier moet u extra werk doen als u óók als kritieke entiteit bent aangewezen:

1. Fysieke beveiliging en perimeter

NIS2 vraagt om beveiliging van netwerk- en informatiesystemen. CER vraagt om beveiliging van gebouwen, terreinen, kritieke fysieke assets — toegangscontrole, perimeterbeveiliging, CCTV, alarmering, beveiligde zones. Een SOC dekt dit niet; u heeft een fysieke security-functie nodig.

2. Achtergrondscreening van personeel (CER artikel 14)

NIS2 vraagt om personeelsbeveiliging en bewustwording (maatregel 7). CER gaat verder: kritieke entiteiten moeten achtergrondscreening uitvoeren voor personeel dat:

• Toegang heeft tot gevoelige delen van de kritieke infrastructuur
• Beslissingsbevoegdheid heeft over de continuïteit van essentiële diensten
• Onder een externe organisatie valt (bijvoorbeeld onderhoudspartijen)

In Nederland komt dit in de praktijk vaak neer op VOG's, screening volgens de Wet veiligheidsonderzoeken (Wvo) of vergelijkbare procedures — sectorafhankelijk.

3. Weerbaarheidsplan voor all-hazards scenario's

Naast cyberscenario's moet u expliciet plannen voor:

• Terroristische aanslagen en sabotage
• Natuurrampen (overstroming, extreme weersomstandigheden)
• Hybride dreigingen (combinaties van cyber + fysiek + desinformatie)
• Insider-dreigingen en infiltratie
• Verstoring van toeleveringsketens (logistiek, energie, water)

Het weerbaarheidsplan beschrijft per scenario welke maatregelen genomen zijn, hoe de organisatie reageert, en hoe herstel verloopt. Dit is concreter en breder dan een typisch BCM-plan.

4. Samenwerking met de OOV-keten

CER veronderstelt actieve samenwerking met:

• NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid)
• Politie en KMar (bij luchtvaart/maritiem)
• AIVD/MIVD (bij staatsgesponsorde dreigingen)
• Lokale veiligheidsregio's

In de praktijk betekent dit een vast aanspreekpunt vanuit uw organisatie, deelname aan oefeningen en informatie-uitwisseling over dreigingsbeelden.

Waar vraagt NIS2 méér dan CER?

Andersom: voor cyber-aspecten is NIS2 gedetailleerder dan CER:

• Cryptografiebeleid (NIS2 maatregel 6) — niet expliciet in CER
• Multi-factor authenticatie voor admin- en remote-toegang (NIS2 maatregel 8) — niet in CER
• Beveiligde communicatie (spraak, video, tekst) tijdens incidenten (NIS2 maatregel 9) — niet in CER
• 24/72-uurs meldregime — CER heeft "zonder onnodige vertraging", wat in de praktijk vaak ruimer is

Voor alle digitale assets blijft NIS2 het strengere regime — ook als u onder CER valt.

Beslismatrix: wat geldt voor mijn organisatie?

Situatie	NIS2-status	CER-status	Wat moet u doen?
MKB in Annex I (≥50 FTE, niet aangewezen)	Belangrijke Entiteit	Niet aangewezen	Alleen NIS2-traject. Begin met de zorgplichtmaatregelen
Groot bedrijf in Annex I (≥250 FTE), niet aangewezen	Essentiële Entiteit	Niet aangewezen	NIS2-traject met strenger toezicht (ex ante)
Aangewezen kritieke entiteit in CER-sector	Essentiële Entiteit	Aangewezen	Beide trajecten — combineer in één compliance-programma
Voedselproducent (Annex II), aangewezen	Belangrijke Entiteit	Aangewezen	NIS2 + CER, ongewone combinatie maar mogelijk
Buiten Annex I/II maar aangewezen als kritieke entiteit	Niet onder NIS2	Aangewezen	Alleen CER-traject — zeldzaam

Praktisch: als u Essentiële Entiteit bent en in een CER-sector werkt, ga ervan uit dat u aangewezen kunt worden en richt uw programma daar nu al op in. Reactief reageren ná een aanwijzingsbesluit kost meer tijd dan u dan nog hebt.

Tijdlijn — wat gebeurt wanneer?

Datum	Wat gebeurt?
17 oktober 2024	EU-deadline NIS2 en CER (door Nederland gemist)
15 april 2026	Tweede Kamer stemt in met Cyberbeveiligingswet en Wwke (uitleg)
1 juli 2026	Beoogde inwerkingtreding beide wetten
17 juli 2026	EU-deadline voor lidstaten om kritieke entiteiten aan te wijzen
Najaar 2026	Eerste aanwijzingsbesluiten verwacht (Nederland loopt achter)
Vanaf eind 2026	Eerste meldingen, eerste audits, eerste sancties mogelijk

Stappenplan: één programma voor NIS2 + CER

Voor organisaties die beide trajecten moeten doen, raden we een vier-stappenaanpak aan:

Stap 1 — Eén geïntegreerd risicoassessment (maand 1–2)

Combineer cyber- en fysieke risico's in één risicoregister. Gebruik bijvoorbeeld:

• ISO 27005 voor de cybercomponent
• Bowtie-analyses voor fysieke en hybride scenario's
• Sectorale dreigingsbeelden (NCTV, branchespecifiek)

Eén register, één governance-proces, één review-cyclus.

Stap 2 — Eén weerbaarheids- en continuïteitsplan (maand 2–4)

Stel een geïntegreerd plan op dat beide regimes dekt:

• Cyberweerbaarheid: technische en organisatorische maatregelen conform NIS2 zorgplicht
• Fysieke weerbaarheid: toegangscontrole, perimeterbeveiliging, sabotage-detectie, natuurramp-scenario's
• Hybride scenario's: gecombineerde aanvallen waarbij cyber + fysiek samenkomen
• BCM: herstelplannen per scenario, RTO/RPO per kritisch proces

Stap 3 — Eén meldorganisatie, twee kanalen (maand 3–5)

Centraliseer incident-detection en -response, maar route per dreigingstype:

• Cyberincident → 24u initieel naar RDI/sector-CSIRT (NIS2-regime)
• Fysiek/hybride incident → zonder onnodige vertraging naar sectorale autoriteit + NCTV (CER-regime)
• Overlappend (bijv. ransomware met fysieke gevolgen) → beide kanalen

Stap 4 — Eén directie-mandaat (doorlopend)

• Eén directielid (vaak COO of CISO-equivalent op bestuursniveau) is aanspreekpunt voor beide regimes
• Jaarlijkse directietraining dekt NIS2 én CER
• Eén jaarlijks bestuursverslag aan beide toezichthouders
• Risico-acceptatie- en investeringsbesluiten lopen via één governance-cyclus

Voor wie diepgaander aan de slag wil: onze whitepaper "De 10 stappen naar NIS2-compliance" bevat een checklist die u kunt uitbreiden met de CER-componenten in dit artikel.

Wat als ik al ISO 27001, ISO 22301 of NEN 7510 heb?

Sterk uitgangspunt. Zie ook ons artikel NIS2 vs ISO 27001, NEN 7510 en BIO 2.0. Voor CER geldt:

• ISO 22301 (BCM) dekt een groot deel van de continuïteitscomponent van CER
• ISO 27001 dekt vooral de cyberkant; vul aan met fysieke security en screening
• NEN 7510 (zorg) raakt CER vooral op continuïteit en supply chain
• Sectorale standaarden (bijv. TenneT-eisen in energie, NEN-EN voor maritiem) zijn vaak al ingericht op fysieke weerbaarheid en geven een voorsprong

Volgende stappen

1. Doe de gratis NIS2-check — bepaal eerst of u onder NIS2 valt
2. Beoordeel uw CER-risico: zit u in een CER-sector? Levert u een essentiële maatschappelijke dienst? Dan is aanwijzing waarschijnlijk
3. Combineer trajecten van dag één — een geïntegreerd programma is fors goedkoper dan twee parallelle programma's
4. Lees ook: NIS2 zorgplicht — de 10 maatregelen en Tweede Kamer neemt Cyberbeveiligingswet aan

Veelgestelde vragen

Val ik automatisch onder CER als ik onder NIS2 val? Nee. NIS2 geldt automatisch op basis van sector en omvang. CER vereist een individuele aanwijzing door de Nederlandse overheid. Veel Essentiële Entiteiten worden wel aangewezen, maar het is geen automatisme.

Wanneer hoor ik of ik als kritieke entiteit ben aangewezen? De EU-deadline voor lidstaten om aan te wijzen is 17 juli 2026. Nederland loopt achter — in de praktijk verwachten we de eerste aanwijzingsbesluiten in het najaar van 2026. Aangewezen entiteiten worden formeel geïnformeerd door de bevoegde autoriteit.

Wat is het verschil tussen NIS2-meldplicht en CER-meldplicht? NIS2 heeft een strak 24/72-uurs regime voor cyberincidenten. CER vraagt melding "zonder onnodige vertraging" voor incidenten die essentiële diensten significant verstoren — dat kan een cyber-, fysiek of hybride incident zijn. Een ransomware-aanval bij een aangewezen kritieke entiteit kan onder beide regimes meldingsplichtig zijn.

Kan ik één compliance-programma neerzetten voor NIS2 én CER? Ja, en dat is sterk aan te raden. Risicobeheer, BCM, incident-response, supply chain en bestuurlijke governance kunnen in één programma. Aparte invulling is alleen nodig voor: fysieke beveiliging, personeelsscreening en het meldkanaal richting NCTV/sectorale autoriteit.

Vervangt CER de Wet veiligheidsregio's of andere bestaande regels? Nee. CER (Wwke) komt bovenop bestaande regelgeving. Voor energie geldt bijvoorbeeld al de Elektriciteitswet, voor drinkwater de Drinkwaterwet. Wwke voegt een algemene weerbaarheidsplicht toe; sector-specifieke regels blijven gelden.

Kunnen bestuurders persoonlijk aansprakelijk worden gesteld onder CER? Ja. Net als bij NIS2 legt de Wwke de eindverantwoordelijkheid bij het hoogste leidinggevende orgaan. Bij ernstige nalatigheid — bijvoorbeeld als het weerbaarheidsplan ontbreekt of de risicobeoordeling structureel achterwege is gebleven — kunnen bestuurders aangesproken worden.

Hoe hoog zijn de boetes onder CER? De CER-richtlijn laat de hoogte aan lidstaten. De Wwke voorziet in bestuurlijke boetes die in omvang vergelijkbaar zijn met de NIS2-sancties (zie ons artikel NIS2 boetes en risico's). Voor aangewezen kritieke entiteiten geldt bovendien dat herhaalde of ernstige tekortkomingen kunnen leiden tot aanvullende maatregelen vanuit de toezichthouder.

Wie is de toezichthouder voor CER in Nederland? De NCTV krijgt een coördinerende rol; per sector is er een bevoegde sectorale autoriteit die het feitelijke toezicht uitvoert. Dat is in veel gevallen dezelfde toezichthouder als bij NIS2 (bijvoorbeeld de RDI voor digitale infrastructuur, IGJ voor zorg, ACM/AT voor energie). De exacte uitwerking volgt in lagere regelgeving onder de Wwke.