FAQ CER

CER staat voor Critical Entities Resilience, of weerbaarheid van kritieke entiteiten, die instaan voor de essentiële dienstverlening aan de bevolking. Deze term komt van de Critical Entities Resilience Richtlijn van het Europees Parlement en de Raad van 14 december 2022. 

Een kritieke entiteit staat in voor essentiële dienstverlening aan de bevolking. 
Een kritieke entiteit wordt door de CER-wet gedefinieerd als een publieke of particuliere entiteit, behorend tot één van de categorieën in de bijlage van de CER-wet, die overeenkomstig de bepalingen uit de CER-wet door de sectorale overheid als kritiek wordt aangeduid. 
U bent niet automatisch kritieke entiteit als u in het toepassingsgebied van de wet valt, er vindt op initiatief van de sectorale overheid een identificatieprocedure plaats alvorens u als een kritieke entiteit kan worden aangeduid. 

Volgens de CER-wet moet elke kritieke entiteit beschikken over minstens één kritieke infrastructuur op het Belgisch grondgebied.  Op basis van de CER-wet worden zowel kritieke entiteiten (organisatie) als kritieke infrastructuren (site, fysieke locatie) geïdentificeerd.  
Een kritieke infrastructuur wordt gedefinieerd als een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, of een onderdeel daarvan, hetgeen noodzakelijk is voor de verlening van een essentiële dienst. De kritieke infrastructuren worden, in samenwerking met de betreffende kritieke entiteit, aangeduid door de sectorale overheid. 

De CER-wet definieert de term weerbaarheid als het vermogen om een incident te voorkomen, te beperken en te beheersen, en om bescherming te bieden en bestand te zijn tegen, te reageren op of, zich aan te passen aan en te herstellen van een incident. 

Kritieke entiteiten en infrastructuren kunnen geïdentificeerd worden in de volgende sectoren:

• Energie (elektriciteit; olie; gas; stadsverwarming- en koeling; waterstof)
• Vervoer (lucht; spoor; water; weg; openbaar vervoer)
• Bankwezen•    Infrastructuur voor de financiële markt
• Digitale infrastructuur 
• Drinkwater
• Afvalwater 
• Volksgezondheid 
• Overheid (Federaal)
• Ruimtevaart 
• Productie, verwerking en distributie van levensmiddelen

U kan het toepassingsgebied terugvinden in de bijlage van de CER-wet. 

Een sectorale overheid is de bevoegde autoriteit voor de verschillende sectoren.  

Overzicht: 

Enkel als uw organisatie officieel wordt aangeduid als kritieke entiteit door de bevoegde sectorale overheid, moet u voldoen aan de verplichtingen uit de CER-wet. 

De CER-wet voorziet niet in automatische aanduidingen. Een organisatie kan pas als kritieke entiteit worden aangeduid nadat de sectorale overheid een identificatieprocedure heeft doorlopen en heeft vastgesteld dat aan alle criteria van artikel 11 van de CER-wet is voldaan, nl. 

1. De entiteit verleent één of meer essentiële diensten;
2. De entiteit is actief en haar kritieke infrastructuur bevindt zich op het Belgisch grondgebied;
3. Een incident zou een aanzienlijk verstorend effect hebben op de verlening van deze essentiële diensten. 

De beoordeling van een aanzienlijk verstorend effect gebeurt op basis van de criteria opgenomen in artikel 11, §2 van de CER-wet. De bevoegde sectorale overheid beoordeelt of een organisatie aan deze voorwaarden voldoet en kan daarbij aanvullende sectorspecifieke criteria toepassen en concrete drempelwaarden vastleggen.

De sectorale overheid consulteert de potentiële kritieke entiteiten in haar sector alvorens over te gaan tot aanduiding. Wanneer de sectorale overheid beslist om uw organisatie officieel aan te duiden als kritieke entiteit, wordt u daarvan schriftelijk op de hoogte gebracht. Dit gebeurt binnen één maand na de aanduiding.
In deze kennisgeving ontvangt u een gemotiveerde beslissing, waarin wordt toegelicht waarom uw organisatie als kritieke entiteit wordt beschouwd.

Indien uw organisatie wordt aangeduid als kritieke entiteit, moet deze voldoen aan de verplichtingen uit hoofdstuk 5 van de CER-wet. Dit betekent:

• Dat u een contactpunt aanduidt dat 24u/7d beschikbaar is, binnen 6 maanden na de kennisgeving van aanduiding als kritieke entiteit;
• Dat u een risicobeoordeling opstelt uiterlijk 9 maanden na de kennisgeving van aanduiding als kritieke entiteit;
• Dat u een weerbaarheidsplan opstelt uiterlijk 10 maanden na kennisgeving van aanduiding als kritieke entiteit;
• Dat u oefeningen organiseert over het weerbaarheidsplan; 
• Dat u incidenten meldt aan de bevoegde autoriteiten.

Weerbaarheidsmaatregelen zijn maatregelen die een kritieke entiteit neemt om zich beter te beschermen tegen risico’s waaraan zij wordt blootgesteld, met het doel om haar essentiële diensten te kunnen blijven garanderen. Deze maatregelen worden bepaald op basis van een risicobeoordeling en kunnen onder meer bestaan uit:

• Maatregelen om natuurlijke risico’s te beperken, zoals overstromingen, extreme weersomstandigheden of andere natuurrampen;
• Fysieke beveiligingsmaatregelen, zoals hekken, barrières, camerabewaking en toegangscontrole;
• Maatregelen om de bedrijfscontinuïteit te waarborgen, bijvoorbeeld via business continuity- of noodplannen;
• Screening van medewerkers die een gevoelige functie uitoefenen of toegang hebben tot gevoelige informatie.

Neen. Aangezien kritieke entiteiten verantwoordelijk zijn voor het verlenen van essentiële diensten aan onze maatschappij, zou het bekendmaken van de lijst van kritieke entiteiten en kritieke infrastructuren ernstige gevolgen kunnen hebben op de nationale veiligheid van België.  
Om die reden bepaalt de CER-wet dat informatie over kritieke entiteiten strikt beperkt moet blijven tot personen die deze informatie nodig hebben voor de uitoefening van hun functie. Dit wordt het ‘need to know’-principe genoemd.
Daarnaast zijn kritieke entiteiten ook gebonden aan het beroepsgeheim, wat betekent dat zij zorgvuldig en vertrouwelijk moeten omgaan met deze gevoelige informatie.

Neen. Voor de aangeduide kritieke entiteiten en infrastructuren ligt de focus op preventie, nl. dat de entiteit zich weerbaar moet maken tegen alle mogelijke risico’s waarmee zij geconfronteerd kan worden. De lijst van kritieke entiteiten en infrastructuren wordt ten minste elke vier jaar, en telkens wanneer nodig, geëvalueerd en geactualiseerd.

De CER (Critical Entities Resilience) en NIS2 (Network and Information Systems) richtlijnen komen voort uit eenzelfde Europees initiatief. Beide hebben als doel de weerbaarheid van onze samenleving te versterken, maar ze leggen elk een andere klemtoon: CER focust op de weerbaarheid van fysieke entiteiten en infrastructuur, terwijl NIS2 zich richt op de cyberaspecten. Samen zorgen ze ervoor dat de meest vitale spelers in de Europese samenleving hun risico’s beter kunnen beheersen en de continuïteit van de essentiële dienstverlening kunnen waarborgen. 

Wanneer een organisatie officieel wordt geïdentificeerd en aangeduid als kritieke entiteit onder de CER-wet, wordt zij automatisch ook beschouwd als een essentiële entiteit onder de NIS2-wet. Dit wil zeggen dat u zowel maatregelen moet nemen tegen cyberrisico’s, als tegen natuurlijke risico’s, menselijke risico’s, economische risico’s enzoverder.

 Deze automatische koppeling geldt enkel in één richting. NIS2 entiteiten worden niet automatisch beschouwd als CER Entiteiten. Voor CER blijft steeds een afzonderlijke identificatieprocedure door de bevoegde sectorale overheid vereist.
In België werd de NIS 2- richtlijn omgezet in de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid en de CER-richtlijn in de wet van 19 december 2025 betreffende de weerbaarheid van de kritieke entiteiten. 

Voor meer informatie over NIS2 en cyberbeveiliging kan u terecht op de website van het Center for Cybersecurity Belgium (CCB).

Het Nationaal Crisiscentrum speelt een centrale rol in de coördinatie van het beleid en het wettelijk kader rond de weerbaarheid van kritieke entiteiten. Het zorgt ervoor dat alle betrokken actoren op een samenhangende manier samenwerken.

Concreet houdt dit in dat het Nationaal Crisiscentrum:

• Optreedt als nationaal en Europees contactpunt voor aangelegenheden met betrekking tot kritieke entiteiten;
• Waakt over een coherente toepassing van de wetgeving en het beleid over alle sectoren heen;
• Fungeert als schakel tussen de verschillende betrokken actoren, zoals de politie, sectorale overheden, het OCAD en andere bevoegde instanties; 
• De Belgische Nationale Risicobeoordeling of BNRA ter beschikking stelt van de sectorale overheden als input voor hun sectorale risicoanalyse onder CER;
• Instaat voor de coördinatie van de nationale CER Strategie. 
• Afhankelijk van de dreiging, beslissen tot het nemen van externe beschermingsmaatregelen voor kritieke infrastructuur.

Verschillende actoren zijn betrokken bij de toepassing van de wetgeving rond kritieke entiteiten:

• OCAD: Staat in voor de opmaak van een dreigingsanalyse voor elke sector. 
• Politie: Staat in voor de uitvoering van externe beschermingsmaatregelen bij kritieke infrastructuur, in functie van de dreiging. 
• Gouverneur: Kan besluiten tot externe noodplanning (ANIP, BNIP) of dit overlaten aan de burgemeester. 
• Burgemeester: Kan beslissen om externe beschermingsmaatregelen te nemen en staat desgevallend in voor externe noodplanning, zonder dat deze in strijd mogen zijn met de beslissingen van het Nationaal Crisiscentrum. 
• Sectorale overheden: Staat in voor de opmaak van een sectorale risicobeoordeling, de identificatie en aanduiding van kritieke entiteiten en infrastructuren en voert toezicht en controle uit door middel van inspecties.