Volgend jaar is het zover: de Wet weerbaarheid kritieke entiteiten (Wwke) treedt in werking. Van watervoorziening en elektriciteitskabels, tot toegangscontrole en fysieke beveiliging van digitale systemen; de wet richt zich op de weerbaarheid van de Nederlandse vitale infrastructuur tegen verstoring. Dat is hard nodig: 40 procent van de organisaties ondervindt maandelijks hinder door storingen of het falen van technologie, blijkt uit onderzoek. En dat heeft vaak een domino-effect. Wanneer bijvoorbeeld een datacenter uitvalt, vallen ook de systemen van andere organisaties uit, van webshops tot zorgapplicaties.
Grofweg vijfhonderd Nederlandse organisaties worden verplicht om binnen negen tot tien maanden na aanwijzing aan de Wwke te voldoen. Dat vraagt om een nieuwe blik: niet langer alleen focussen op je eigen businesscontinuïteit, maar ook nadenken over welke impact jouw uitval heeft op de maatschappij. Een ander perspectief dat ook relevant is voor organisaties die niet onder de Wwke vallen.
Wat is de Wwke?
De Wwke is de Nederlandse vertaling van de Europese Critical Entities Resilience Directive (CER)-richtlijn uit 2022 en is van toepassing op essentiële processen in onze samenleving. Dat doet je misschien denken aan NIS2. Waar NIS2 zich richt op cybersecurity, focust zijn Wwke-broertje op fysieke weerbaarheid van organisaties. De twee wetten zijn nauw aan elkaar verbonden: samen betekenen ze dat je jouw organisatie niet alleen digitaal, maar ook fysiek moet beveiligen. Denk aan serverruimtes en wie daar toegang toe heeft, of aan het beschermen van kabelinfrastructuur tegen manipulatie.
Zowel NIS2 als de Wwke draaien dus om weerbaarheid en businesscontinuïteit. Thema’s waar je waarschijnlijk al mee bezig bent, bijvoorbeeld vanuit ISO-certificeringen. Je hebt wellicht ook al verschillende scenario’s uitgewerkt. Wat gebeurt er bijvoorbeeld met je dienstverlening als een cruciale toeleverancier uitvalt? Toch vereist de Wwke meer.
Bredere lens gevraagd
In de praktijk ontbreekt er bij organisaties vaak nog één vraag: wat gebeurt er als jij uitvalt voor je klanten? En dan niet het financiële aspect, maar de maatschappelijke impact. Precies dat is waar de Wwke om draait: het in kaart brengen van de risico’s voor de maatschappij. Neem weer een datacenter dat uitvalt. Voor het datacenter zelf betekent dit boetes, reputatieschade en vooral een grote uitdaging. Maar voor de ICT van het ziekenhuis dat erop draait, betekent het geen toegang tot patiëntendossiers. Voor webshops; geen omzet. En voor de maatschappij; het stilvallen van essentiële processen.
De Wwke vraagt om een bredere maatschappelijke lens, waarin je ook de risico’s voor klanten en toeleveranciers meeneemt in je businesscontinuïteit. Die risicoanalyse leg je niet alleen vast, je moet ook laten zien dat je maatregelen neemt om die risico’s te verkleinen. Of je nu onder de Wwke valt of niet, dat is voor iedere organisatie een verstandige stap om te zetten.
De Wwke-checklist
De komst van de Wwke is een duidelijk signaal dat het tijd is voor actie. Is jouw organisatie al Wwke-proof? Stel jezelf onder andere de volgende vragen:
- Heb je in kaart gebracht welke processen binnen jouw organisatie essentieel zijn voor jouw eigen bedrijf én de maatschappij?
- Weet je welke toeleveranciers en afnemers cruciaal zijn voor deze processen?
- Heb je scenario’s uitgewerkt waarin jouw uitval impact heeft op de keten?
- Is je fysieke beveiliging op hetzelfde niveau als je digitale beveiliging?
- Voer je antecedentenonderzoek uit bij medewerkers met toegang tot kritieke infrastructuur?
Deze checklist raakt alle lagen van de organisatie. Uiteindelijk is de directie eindverantwoordelijk om te voldoen aan de Wwke, maar de uitvoering vraagt om betrokkenheid van al je afdelingen. Wel kun je voortbouwen op wat je al hebt aan beveiliging voor businesscontinuïteit. Je hoeft het wiel niet opnieuw uit te vinden. En ga in gesprek met (potentiële) klanten en toeleveranciers over verwachtingen rondom fysieke weerbaarheid. Daarmee vergroot je niet alleen je eigen veerkracht, maar ook die van de keten.
Verplichting en kans
De wet Wwke is niet alleen een verplichting, het is ook een kans. Ook als je niet direct onder de wet valt, loont het om aan de eisen te voldoen. Daarmee positioneer je je als betrouwbare partner met aantoonbare weerbaarheid richting klanten die uitval of verstoringen vrezen. Dat kan een concurrentievoordeel zijn. En waarschijnlijk werk je samen met of lever je sowieso aan een partij die onder de Wwke valt. Start dus op tijd het gesprek met hen en breng je basis op orde. Tien maanden lijkt misschien ruim. Maar als blijkt dat je datacenter vanwege overstromingsrisico’s nog vanuit de kelder naar een nieuwe verdieping verplaatst moet worden, heb je alle tijd nodig.